Witam,
spotkałem się z dziwnym konfigiem i proszę o poradę czy to może być jakiś błąd czy może jest w tym jakiś głębszy sens.
Chodzi o zastosowanie global listy z wpisami DENY mimo że na samym koncu jest deny any any.
Przykład o co chodzi na obrazku
http://fotowrzut.pl/EYBV1DIL04
access-list inside_access_in_1 extended permit udp any any eq domain
access-list inside_access_in_1 extended permit tcp any any eq www
access-list inside_access_in_1 extended permit tcp any any eq https
access-list inside_access_in_1 extended permit ip any object-group DOMAIN
access-list global_access extended deny ip any object 22.22.22.22
access-list global_access extended deny ip any object 33.33.33.33
Global list jaki sens jak to w praktyce
Global list jaki sens jak to w praktyce
-------------------------------
Cisco
Cisco
Re: Global list jaki sens jak to w praktyce
Zależy co masz na tym ip reguła jest pewnie dla statystyki.
Wysłane z iPhone za pomocą Tapatalk
Wysłane z iPhone za pomocą Tapatalk
Inna Sieć - innasiec.pl
Re: Global list jaki sens jak to w praktyce
Tzn chodzi Tobie w enable logging włączone domyślnie na ACL?
-------------------------------
Cisco
Cisco
Re: Global list jaki sens jak to w praktyce
z tego co mi wiadomo global ACL zostalo wprowadzone w celu ulatwienia migracji z CheckPointow. Pomijając kwestię czy lubię global ACL czy nie (kwestia przyzwyczajenia na danej platformie), nie widzę sensu mieszania ACLek per interface i global, to tak jak stosowanie ACLek na wejściu i wyjściu - da się ale po co utrudniać sobie życie.
ACLki są rozpatrywane następująco:
poza tym best practice jest zawsze ustawienie explicit deny na końcu reguł i nawet jak wszystko pozwalasz na inside to i tak skonfigurowanie dwóch ACLek:
- permit ip any any
- deny ip any any
bo i tak na 95% w przyszłości będziesz musiał coś zablokować, więc lepiej mieć gotowy template.
na zrzucie z ekranu widać że global deny jest implicit więc w CLI jej nie zobaczysz
ACLki są rozpatrywane następująco:
source: https://cciesecblog.com/2014/07/21/asa- ... cess-list/Global access list applies logically to the entire firewall in inbound direction to all interface.
If there are existing interface access lists, those will be considered first and instead of having implicit deny any any at the end of interface ALCs, the Global access list is processed and in case of non-matching rule, the implicit deny any any is used at the end of Global access list.
poza tym best practice jest zawsze ustawienie explicit deny na końcu reguł i nawet jak wszystko pozwalasz na inside to i tak skonfigurowanie dwóch ACLek:
- permit ip any any
- deny ip any any
bo i tak na 95% w przyszłości będziesz musiał coś zablokować, więc lepiej mieć gotowy template.
na zrzucie z ekranu widać że global deny jest implicit więc w CLI jej nie zobaczysz
ML
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"
-------------------------------------------------------------------------------------
"Minds are like parachutes, they work best when they are open"