老胳膊 总结PIX 流量 放行 问题 : NAT,从高到低(安全级别) ACL,在完全级别较低的端口上 放行 流量 ESP、isakmp(vpn协议),是非状态化协议,不支持状态化监控,需要 放行 返回的ESP 流量 。 GRE,是不支持状态化的协议 流量 ,需 放行 返回的gre 流量 。
老胳膊总结PIX流量放行问题:
NAT,从高到低(安全级别)
ACL,在完全级别较低的端口上放行流量
ESP、isakmp(vpn协议),是非状态化协议,不支持状态化监控,需要放行返回的ESP流量。
GRE,是不支持状态化的协议流量,需放行返回的gre流量。
放行ICMP流量:
#access-list out permit icmp any any
#access-group out in interface outside
在配置BGP协议时,如果BGP会话加密的话,那么默认情况下是无法穿越透明防火墙的。这是因为防火墙出于安全的考虑,默认情况下会打开TCP序列号随机化的小特性,另外防火墙会擦出TCP的一些选项位,在BGP加密会话中,19号选项位包含了MD5加密的属性信息,防火墙清除这个字段后的后果就是加密的BGP会话建立不起来。解决办法是放行OPTION 19,
放行option 19: //允许TCP包头中的option字段的19号选项位
class-map BGP-MD5-classmap
match port tcp eq 179
tcp-map BGP-来2源gaodaima#com搞(代@码&网MD5
tcp-option range 19 19 allow
policy-map global_policy
class BGP-MD5-classmap
set connection advanced-option BGP-MD5
service-policy global_policy global
查看原文:http://www.laogebo.com/archives/246.html
老胳膊BLOG
转载请注明原文链接:PIX&ASA的流量放行问题
