ACL różnica IN / OUT
: 19 mar 2018, 00:20
Typowy problem. Nie mogę znaleźć dość wyczerpującej odpowiedzi.
Konfiguracja:
Core_2(config-line)#access-list 100 permit ip host 192.168.70.70 any /Zezwól hostowi źródłowemu o adresie 192.168.70.70 na ruch ip do każdego docelowego
Core_2(config)#int vlan 70
Core_2(config-if)#ip access-group 100 in
Pytanie czym różni się powyższa konfiguracja od tej:
Core_2(config-line)#access-list 100 permit ip any host 192.168.70.70
Core_2(config)#int vlan 70
Core_2(config-if)#ip access-group 100 out
Rozumiem to tak że jeśli ktoś puszcza ping lub inicjuje jakikolwiek ruch to do serwera który ma adres np. 70.72 wszystko dociera, ale nie może on odpowiedzieć bo zostaje zablokowany przez liste. Natomiast konfiguracja poniżej w ogóle nie zezwoli na jakikolwiek ruch do serwera, bo aclka zadziała przed dotarciem jakiegokolwiek pakietu do niego. Czy to znaczy że konfiguracja druga jest bezpieczniejsza? Jakie ustawienie będzie najbardziej optymalne?
Konfiguracja:
Core_2(config-line)#access-list 100 permit ip host 192.168.70.70 any /Zezwól hostowi źródłowemu o adresie 192.168.70.70 na ruch ip do każdego docelowego
Core_2(config)#int vlan 70
Core_2(config-if)#ip access-group 100 in
Pytanie czym różni się powyższa konfiguracja od tej:
Core_2(config-line)#access-list 100 permit ip any host 192.168.70.70
Core_2(config)#int vlan 70
Core_2(config-if)#ip access-group 100 out
Rozumiem to tak że jeśli ktoś puszcza ping lub inicjuje jakikolwiek ruch to do serwera który ma adres np. 70.72 wszystko dociera, ale nie może on odpowiedzieć bo zostaje zablokowany przez liste. Natomiast konfiguracja poniżej w ogóle nie zezwoli na jakikolwiek ruch do serwera, bo aclka zadziała przed dotarciem jakiegokolwiek pakietu do niego. Czy to znaczy że konfiguracja druga jest bezpieczniejsza? Jakie ustawienie będzie najbardziej optymalne?