Quando uma conexão TCP é estabelecida, o fluxo de tráfego foi avaliado e permitido, o que conta a vida útil do fluxo; a regra de saída não seria necessária.
Ok, então suponha que eu tenha uma lista de acesso de ingresso semelhante a esta:
access-list outside_in extended ip permit any X.Y.Z.1 eq 25
access-group outside_in in interface outside
E eu quero fazer filtragem de saída. Quero permitir que as máquinas internas respondam na porta 80 e desejo permitir portas acima de 1024. Como o firewall é statefull, preciso ter a regra
access-list inside_in extended ip permit X.Y.Z.1 any eq 25
no meu inside_in ACL, ou posso sair com apenas
access-list inside_in extended ip permit any any gt 1024
access-group inside_in in interface inside
Em outras palavras, se eu aplicar uma lista de acesso de saída, será preciso permitir explicitamente que as máquinas respondam a solicitações permitidas pela lista de acesso de ingresso ou o estado do firewall atenda isso a mim?
Obrigado!
Para simplificar: ao criar regras para conexões TCP, basta pensar no caminho que o primeiro SYN seguirá. Construa as ACLs que permitiriam esses e somente os SYNs que você considera aceitáveis, e o firewall cuidará do resto.
Eu recomendo aderir apenas às regras de ingresso, a menos que você tenha uma boa justificativa para fazer o contrário. Este exemplo não parece um.