NAT y las listas de acceso son elementos completamente separados en los firewalls ASA. Si agrega una regla de lista de acceso (en cualquier cosa que ejecute el código ASA post 8.3), permite el tráfico entrante a direcciones IP ‘reales’ (es decir, direcciones post-NAT) y luego aplica la lista de acceso a una interfaz con una dirección.
Por ejemplo, si su dirección IP real en su servidor / computadora es 10.1.1.5 y su dirección IP NAT es 5.5.5.5, entonces su regla de lista de acceso permitiría el tráfico entrante a 10.1.1.5 (en cualquier puerto / protocolo que desee). El firewall tiene estado, por lo que una vez que se permite el tráfico entrante, el tráfico de respuesta se permite automáticamente, especialmente para protocolos estándar como HTTP, etc.
Si tiene una lista de acceso aplicada en su interfaz interna que controla el tráfico saliente de la red confiable a Internet, debe permitir la conexión inicial fuera de la red confiable a Internet, pero el tráfico de respuesta aún se permitirá como parte de la conexión TCP establecida , una vez que la lista de acceso permite la conexión inicial.
- Mi dirección de red es 144.10.0.0/28. ¿Cuáles son los rangos para la subred 17, subred 22, subred 82 y subred 133?
- ¿Es posible ocultar algo (un algoritmo) bajo la dirección IP de alguien?
- ¿Qué es una IP pública y por qué es necesaria para IOT?
- ¿Qué sucede si uso una máscara de subred de clase A con una dirección IP de clase C?
- ¿Cómo podemos proteger nuestra dirección IP del ataque de hackers?
Por lo tanto, la respuesta breve es no, la mayoría de las veces no necesita agregar una ACL para el tráfico inverso a menos que tenga una lista de acceso en la interfaz interna / confiable y la conexión en cuestión no sea parte de una conexión ya establecida que previamente calificó ser permitido a través de una ACL en la interfaz externa.