Una cosa que se puede configurar en las listas de acceso extendidas y que resulta muy útil, es las listas de acceso con clausula established. Cuando se añade una linea a la lista de acceso, y lleva al final la palabra established, los paquetes de vuelta de la sesión quedan permitidos automáticamente siempre y cuando vengan marcados con el bit ACK.
Pongamos un ejemplo:
access-list 120 permit tcp host 192.168.1.1 any established
access-list 120 deny ip any any
Esta lista de acceso la configuramos de salida en una interfaz, permitiría las conexiones TCP desde la 192.168.1.1 con destino a cualquier sitio, y los paquetes que respondan a una conversación TCP originada por el host 192.168.1.1, sin embargo, si la conexión se intenta comenzar desde fuera, el tráfico estaría denegado.
Algo importante a tener en cuenta es que realmente no se realiza trabajo de deep packet inspection respecto a la conversación TCP, con lo que en principio nos evitamos los problemas de los firewall de capa 7, y por el lado negativo tampoco estamos haciendo inspección de paquetes.
creo que esta mal , la condicion de established es un retorno a quien origino el trafico , entonces el host origen es de afuera y el destino 192.168.1.1
ResponderEliminar