Настройка reflexive access-list в cisco, что это и зачем нужно?

Cisco
Рефлексивные списки доступа являются одним из методов, который добавит функции брандмауэра в маршрутизатор. Они обычно используются для пропуска исходящего трафика и проверку входящего трафика в ответ для сессий, которые созданы внутри маршрутизатора. Например Вы хотите, чтобы TCP соединение пропускалось извне только начальный пакет был направлен с внутреннего интерфейса. Например FTP сеанса по порту TCP 20. Если вы обращаетесь к FTP изнутри LAN по порту 20, то будет пропускаться и исходящий и входящий трафик. Но если кто-то из-за пределов попытается инициировать сессию на порт 20, сессия будет прекращена.

Пример как добавить Reflexive access-list и «повесить» их на интерфейс.
ip access-list extended OUTBOUND
permit tcp any any reflect TO_REFLECT
permit udp any any reflect TO_REFLECT

ip access-list extended INBOUND
evaluate TO_REFLECT

interface  GigabitEthernet0/1
ip access-group OUTBOUND out
ip access-group INBOUND in


UPD
Протестировал из дома соединение с cisco настроенной по такому методу, nmap выдает по всем скриптам
Note: Host seems down. If it is really up, but blocking our ping probes, try -PN
Хотя до этого даже с закрытыми портам получалось получить некоторую информацию

1 комментарий

комментарий был удален
Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.