Frage zu outbound-Befehl

[AlbertMinrich 12]

Hallo,

 

wir haben eine etwas ältere PIX, die kennt keine access-list, wir müssen also mit oubound und conduit arbeiten.

Erste Frage:

Gilt ein outbound-Befehl, der an die interne Schnittstelle gebunden wird, immer für jeglichen Datenverkehr, der von innen über die inside-Schnittstelle geht, oder kann man da noch unterscheiden zwischen Verkehr von innen nach aussen bzw. von innen in die DMZ.

 

Zweite Frage:

Ein outbound-Befehl sieht z.B. so aus:

"outbound 1 permit 192.168.3.1 255.255.255.255 0 tcp"

Aber erst mit dem zugehörigen apply-Befehle legt man ja fest, was der outbound-Befehl bewirkt. Entweder:

"apply (inside) 1 outgoing_src" (das bedeutet, die im outbound-Befehl angegebene Adresse ist eine Quell-Adresse und es wird jeglicher Verkehr (zumindest tcp) von dieser einen Quell-Adresse nach aussen erlaubt).

Oder:

"apply (inside) 1 outgoing_dest" (das bedeutet, die im outbound-Befehl angegebene Adresse ist eine Ziel-Adresse und es wird jeglicher Verkehr (zumindest tcp) von innen zu dieser einen Ziel-Adresse erlaubt).

 

Aber wie ist es damit möglich, einer ganz bestimmten Quell-Adresse den Datenverkehr zu einer ganz bestimmten Ziel-Adresse zu erlauben, was beim access-list-Befehl ungefähr so aussehen würde (Datenverkehr für 192.168.3.1 zu 18.19.20.21 erlauben):

"access-list inside_public permit ip 192.168.3.1 255.255.255.255 18.19.20.21 255.255.255.255"

"access-group inside_public in interface inside"

 

Danke

Martin