ASA上部署ACL疑问
请教各路大神,小弟做了个ASA上部署ACL的小实验,基本路由和接口地址安全级别配置都没问题,只是在Outside接口应用ACL时有个问题:
1.access-list yuan permit tcp host 172.16.1.1 host 10.1.1.1 eq 23这条命令只允许host172.16.1.1 访问 host 10.1.1.1的tcp 23端口
2.access-group yuan in interface outside 将ACL应用到Outside接口的in方向
3.可是为什么R1可以Telnet到R2?根据ACL限制,TCP建立连接三次握手的第2步,R2确认R1的连接请求并向R1请求连接时,目标IP为R1的地址目标端口号是R1随机生成的,这样就不匹配ACL的语句,隐含的条件应该是被拒绝,实在是不解,期待大神解释(用的GNS3模拟器)先谢谢咯
自己顶顶,期待前辈提点 因为ASA是状态化防火墙哦
ccie108 发表于 2014-10-29 17:16
因为ASA是状态化防火墙哦
谢谢朋友回复,可是入站的Outside接口有ACL情况下,不是应该先匹配ACL条目,若没有匹配的条目,ACL隐含的是拒绝所有流量,没有ACL时才会看CONN连接表吧,刚接触ASA防火墙,不懂之处还请多多指教{:6_265:} ccie108 发表于 2014-10-29 17:16
因为ASA是状态化防火墙哦
是不是这个意思,如果Outside接口配置了ACL,则先匹配里面的条目,若无明确允许,则比对CONN表,表中有匹配信息则通过,没有则丢弃 ACL 好像不能控制本地流量吧?好像是,记不太清楚,你查查看 kgdpgf 发表于 2014-10-29 19:29
ACL 好像不能控制本地流量吧?好像是,记不太清楚,你查查看
谢谢朋友:handshake Thanks for your information.
页:
[1]