2つのインターフェイスを備えたCiscoASA 5505(バージョン8.2(2))があります。内部(セキュリティレベル100)と外部(セキュリティレベル50)。内部には10.1.1.0/24のサブネットが1つあります。
内部から外部に移動するトラフィックにはNATはありません。これは、アップストリームルーターによって処理されます。
内部インターフェイス上のすべてのシステムが外部への接続を開始してリターントラフィックを受信できるが、外部が内部システムへの接続を開始できないようにファイアウォールを構成したいと思います。トラフィックを出すのは簡単です:
access-list inside_in extended permit IP 10.1.1.0 255.255.255.0 any
しかし、すべてのトラフィックに対してファイアウォールを開かずに応答を戻すには、ASAで何を設定する必要がありますか?通常、これはNATによって処理されますが、この場合、NATは使用しません。
前回チェックしたとき、高セキュリティゾーン(100)から低セキュリティゾーンに移動するときにルールを定義する必要はありません。デフォルトで許可されています。
そうは言っても、 確立された ドキュメントを見たいと思うでしょう。また、 security-level docsも簡単に確認しても問題ありません。
ASAはデフォルトでステートフルです。 (セキュリティレベルの処理またはACLのいずれかによって)トラフィックアウトを許可すると、リターントラフィックが自動的に通過できるようになります。
私はあなたが実際にnat-control問題に遭遇していると信じる傾向があります。 Nat-controlはNATの使用を強制します。つまり、nat-controlが有効になっている場合、ファイアウォールインターフェイスを通過するトラフィックはすべてNATを実行する必要があります。そうしないと、トラフィックがドロップされます。 8.2コードでは、nat-controlがデフォルトで有効になっています。
ファイアウォールでNAT)を実行していないと述べているので、グローバル構成からコマンドno nat-controlを使用してnat-controlを無効にする必要もあります。 、またはconfigure NATファイアウォールにnotNATトラフィックを指示するための免除、まだnat-controlを満たしている間。
有効になっているかどうかを確認するには:show run nat-control
私はASAの経験はありませんが、Cisco IOSで、トラフィックの再入を許可する方法はip inspect
コマンドであり、これは Context Based Access Control(CBAC) に該当します。これにより、IOSでステートフルファイアウォール機能が有効になり、ファイアウォール(ACL)に一時的な穴が作成され、関連するトラフィックが許可されます。
多分それはASAと同じですか?