我们的路由器上有以下访问列表:
access-list 101 permit ip 10.16.43.0 0.0.0.255 172.50.0.0 0.0.127.255
来自我们路由器的流量流经我们的 Cisco ASA。有人告诉我,我需要在 ASA 上创建一个访问列表,该列表与上面路由器上的访问列表相反,我创建了以下内容:
access-list 101 extended permit ip 172.50.0.0 255.255.128.0 10.16.43.0 255.255.255.0
但有人告诉我这是不正确的。有人可以让我知道它应该是什么吗?
您允许 172.50.0.0/17 完全访问 10.16.43.0/24
如果那是你的意图,那么这一切都很好
不知道为什么你应该做相反的事情?
在 ASA 上,某些 ACL 规则将隐式允许返回流量。这些规则只需要定义一个单一的流量方向。该CLI书2:思科ASA系列防火墙命令行配置手册,9.7叫唤区别。
返回流量的扩展访问规则
对于路由模式和透明模式的 TCP、UDP 和 SCTP 连接,您不需要允许返回流量的访问规则,因为 ASA 允许已建立的双向连接的所有返回流量。
但是,对于 ICMP 等无连接协议,ASA 建立单向会话,因此您需要访问规则以允许双向 ICMP(通过将 ACL 应用于源接口和目标接口),或者您需要启用 ICMP 检查引擎。ICMP 检查引擎将 ICMP 会话视为双向连接。例如,要控制 ping,请指定 echo-reply (0)(ASA 到主机)或 echo (8)(主机到 ASA)。
如果您的示例 ACL 在 ASA 上,您仍然需要明确定义反向流量,因为协议ip是无状态的。
路由器扩展 ACL 没有状态概念。必须明确定义反向/返回流量。此规则的一个例外是“自反 ACL”,不在本文讨论范围之内。
https://www.cisco.com/c/en/us/td/docs/ios/12_2/security/configuration/guide/fsecur_c/scfreflx.html