Hallo,
wir haben eine etwas ältere PIX, die kennt keine access-list, wir müssen also mit oubound und conduit arbeiten.
Erste Frage:
Gilt ein outbound-Befehl, der an die interne Schnittstelle gebunden wird, immer für jeglichen Datenverkehr, der von innen über die inside-Schnittstelle geht, oder kann man da noch unterscheiden zwischen Verkehr von innen nach aussen bzw. von innen in die DMZ.
Zweite Frage:
Ein outbound-Befehl sieht z.B. so aus:
"outbound 1 permit 192.168.3.1 255.255.255.255 0 tcp"
Aber erst mit dem zugehörigen apply-Befehle legt man ja fest, was der outbound-Befehl bewirkt. Entweder:
"apply (inside) 1 outgoing_src" (das bedeutet, die im outbound-Befehl angegebene Adresse ist eine Quell-Adresse und es wird jeglicher Verkehr (zumindest tcp) von dieser einen Quell-Adresse nach aussen erlaubt).
Oder:
"apply (inside) 1 outgoing_dest" (das bedeutet, die im outbound-Befehl angegebene Adresse ist eine Ziel-Adresse und es wird jeglicher Verkehr (zumindest tcp) von innen zu dieser einen Ziel-Adresse erlaubt).
Aber wie ist es damit möglich, einer ganz bestimmten Quell-Adresse den Datenverkehr zu einer ganz bestimmten Ziel-Adresse zu erlauben, was beim access-list-Befehl ungefähr so aussehen würde (Datenverkehr für 192.168.3.1 zu 18.19.20.21 erlauben):
"access-list inside_public permit ip 192.168.3.1 255.255.255.255 18.19.20.21 255.255.255.255"
"access-group inside_public in interface inside"
Danke
Martin