Reihenfolge der ACL´s

[hegl 10]

Wenn ich bei der PIX/ASA die ACL´s für NAT und die Policy trenne, ist es dann egal, in welcher Reihenfolge diese auftreten?

Ich meine mal irgendwo gelesen zu haben, dass zuerst das Statement für NAT konfiguriert sein muss und dann erst die ACL mit der Policy.

Kann das jemand bestätigen?

[#9370 10]

Wenn ich dich richtig verstanden habe meinst du folgendes:

 

Sample Config:

access-list nonat permit ip host1 host2

access-list policy permit ip 10.0.0.0 255.0.0.0 192.168.2.0 255.255.255.0

nat (i) 0 access-list nonat

access-group policy in interface inside

 

Du willst nun wissen, ob die ACLs in dieser Reihenfolge gehören, oder ob auch zuerst die policy ACL und dann die nonat ACL konfiguriert werden kann?

 

Der PIX ist es ****egal in welcher Reihenfolge die ACLs konfiguriert sind. Es kommt nur auf die Reihenfolge der ACEs an.

 

/#9370

[hegl 10]

 

Der PIX ist es ****egal in welcher Reihenfolge die ACLs konfiguriert sind. Es kommt nur auf die Reihenfolge der ACEs an.

 

/#9370

 

Was um Himmels Willen sind denn ACEs? Bei CISCO kenne ich die Abkürzung nur für Application Control Engine. :confused:

[#9370 10]

ACE == Access Control Entry == eine Zeile in der ACL

 

/#9370

[hegl 10]

Jetzt haste mich aber ein wenig verwirrt...

 

Was ich hoffe verstanden zu haben ist, dass in einer ACL namens Hallo (Policy NAT) darauf zu achten ist, an welcher Position der ACE steht, da das first match zieht. Richtig?

Und ob eine "NAT-ACL" davor oder hinter dieser "Hallo-ACL" steht ist vollkommen wurscht.

Auch richtig?

[#9370 10]

Jetzt haste mich aber ein wenig verwirrt...

tut mir leid.

 

Was ich hoffe verstanden zu haben ist, dass in einer ACL namens Hallo (Policy NAT) darauf zu achten ist, an welcher Position der ACE steht, da das first match zieht. Richtig?

Und ob eine "NAT-ACL" davor oder hinter dieser "Hallo-ACL" steht ist vollkommen wurscht.

Auch richtig?

 

2x richtig.

 

/#9370