Reflexive ACL on Cisco router

내부에서 시작된 세션들에 대해서 임시 ACL을 생성하고 허용하는 ACL이다. 외부에서 세션이 시작된 경우에는 필터링 된다.

 

 

 

 

R2#sh run line Building configuration... Current configuration : 1340 bytes      1 : !      2 : ! Last configuration change at 07:03:40 EET Mon Sep 18 2017      3 : !      4 : version 15.4      5 : service timestamps debug datetime msec      6 : service timestamps log datetime msec      7 : no service password-encryption      8 : !      9 : hostname R2     10 : !     11 : boot-start-marker     12 : boot-end-marker     13 : !     14 : aqm-register-fnf     15 : !     16 : !     17 : no aaa new-model     18 : clock timezone EET 2 0     19 : mmi polling-interval 60     20 : no mmi auto-configure     21 : no mmi pvc     22 : mmi snmp-timeout 180     23 : !     24 : !     25 : !     26 : !     27 : !     28 : !     29 : !     30 : !     31 : !     32 : !     33 : ip cef     34 : no ipv6 cef     35 : !     36 : multilink bundle-name authenticated     37 : !     38 : !     39 : !     40 : !     41 : !     42 : !     43 : !     44 : !     45 : !     46 : redundancy     47 : !     48 : !     49 : !     50 : !     51 : !     52 : !     53 : !     54 : !     55 : !     56 : !     57 : !     58 : !     59 : !     60 : !     61 : !     62 : interface Ethernet0/0     63 :  ip address 10.1.12.2 255.255.255.0     64 : !     65 : interface Ethernet0/1     66 :  ip address 10.1.23.2 255.255.255.0     67 :  ip access-group outside-acl-in in     68 :  ip access-group outside-acl-out out     69 : !     70 : interface Ethernet0/2     71 :  no ip address     72 :  shutdown     73 : !     74 : interface Ethernet0/3     75 :  no ip address     76 :  shutdown     77 : !     78 : ip forward-protocol nd     79 : !     80 : !     81 : no ip http server     82 : no ip http secure-server     83 : ip route 10.1.34.0 255.255.255.0 10.1.23.3     84 : !     85 : ip access-list extended outside-acl-in     86 :  evaluate kgracl     87 : ip access-list extended outside-acl-out     88 :  permit tcp any any reflect kgracl timeout 300 log     89 :  permit udp any any reflect kgracl timeout 300 log     90 :  permit icmp any any reflect kgracl timeout 300 log     91 :  permit ip any any     92 : !     93 : !     94 : !     95 : !     96 : control-plane     97 : !     98 : !     99 : !    100 : !    101 : !    102 : !    103 : !    104 : !    105 : line con 0    106 :  exec-timeout 0 0    107 :  logging synchronous    108 : line aux 0    109 : line vty 0 4    110 :  login    111 :  transport input none    112 : !    113 : !    114 : end

 

 

R2#show ip access-lists Reflexive IP access list kgracl      permit tcp host 10.1.12.1 eq 57081 host 10.1.34.4 eq telnet log (39 matches) (time left 290)      permit tcp host 10.1.34.4 eq telnet host 10.1.12.1 eq 57081 log (53 matches) (time left 290) Extended IP access list outside-acl-in     10 evaluate kgracl Extended IP access list outside-acl-out     10 permit tcp any any reflect kgracl log (92 matches)     20 permit udp any any reflect kgracl log     30 permit icmp any any reflect kgracl log     40 permit ip any any