-1

Меня всегда учили, что в конце каждого списка управления доступом к сетевому маршрутизатору есть неявное заявление об отказе.

Вопрос: В таких случаях, если вы хотите, чтобы другой трафик проходил через вас, нужно ли разрешить какое-либо заявление или оно будет заблокировано из-за неявного отказа?

Я только недавно узнал, что есть некоторые маршрутизаторы, которые неявно разрешают весь трафик, и вы должны написать операторы запрета для трафика, через который вы не хотите проходить.

Я пытался найти информацию об этих методах ACL маршрутизатора, но пока ничего не нашел. Я надеюсь, что кто-то может дать мне некоторую ясность в этой теме.

2 ответа2

1

Не существует стандарта или спецификации, в соответствии с которой должна быть записана конфигурация фильтрации пакетов. (И вообще, термин «список контроля доступа» относится ко многим другим вещам, кроме фильтров сетевых пакетов.)

Вас учили об одной конкретной реализации списков контроля доступа (я полагаю, Cisco IOS?); однако другие продукты и реализации следуют своим собственным соглашениям - и некоторые из них используют "неявное разрешение", либо по историческим причинам, либо потому, что нет необходимости иметь отдельный переключатель «вкл / выкл» для фильтрации (фильтр всегда активен, это просто начинается без правил).

Например, в OpenBSD pf задокументировано использование неявного "прохода". В Linux iptables & nftables есть параметр политики, который по умолчанию настроен на неявное принятие, но может быть изменен на удаление. И фильтры брандмауэра JunOS явно неявно принимают, когда у них еще нет правил соответствия, но становятся неявными, когда вы добавляете некоторые из них.

В дополнение к этому пользовательские интерфейсы могут действовать не так, как базовый механизм. Например, хотя pfSense просто предоставляет графическую конфигурацию для того же самого pf, он всегда добавляет скрытое правило "блокировать все", что приводит к явному неявному запрету, даже если под капотом это явно.

-1

Обычно по умолчанию для любого брандмауэра уровня потребителя исходящие соединения разрешены по умолчанию с явным запретом.

Большинство пользователей не хотят останавливать трафик, выходящий из их сети (по крайней мере, сознательно), поэтому значение по умолчанию имеет смысл для большинства людей и его проще всего настроить таким образом.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .