Когда когда на Cisco применять ACL на входе и когда на выходе интерфейса?

Question

[ReD]

Здравствуйте!

Никак не могу уловить чёткую разницу между
ip access-group in
и
ip access-group out

Помогите пожалуйста понять принцип по которому можно было бы сразу определить, в каких случаях ACL нужно вешать на выход (out), а когда на вход (in) интерфейса?

Answer 1

[cssman]

на in любые входящие соединения (что пришло к Вам в сеть), на out - исходящие (что выйдет из Вашей сети).

Comments

[ReD]

То есть, при "in" Cisco смотрит на desination адрес, а когда "out" на source адрес?

[cssman]

в обоих случаях смотрит на src и dst вместе.

Просто на IN фильтрует то что прилетает к вам на ресурс за циской. Т.е. Вы фильтруете разрешения на подключение к ресурсу за циской из вне.
А на OUT фильтрует исходящие соединения что вылетает из-за циски во вне. Для аналогии представьте себя что фильтрация проходит на интерфейсе. В одном случае на внешнем, в другом на внутреннем и в зависимости от направления трафика выбираем in или out.

Answer 2

[Илья]

Для определения куда вешать лист доступа, есть правило - всегда нужно смотреть относительно устройства in для трафика который входящий в устройство, out для исходящего из устройства.