Skip to main content

Manuale Utente (Inglese)

Come si configurano le regole del firewall per i pacchetti in uscita?

Importante

Questo articolo fornisce informazioni per utenti esperti.

L'elenco delle regole del firewall create tramite l'interfaccia web è collegato a un'interfaccia specifica nella direzione in (in entrata), ovvero i pacchetti di rete che entrano nell'interfaccia vengono analizzati (per le interfacce esterne, si tratta di pacchetti da Internet al router; per le interfacce locali, si tratta di pacchetti dagli host al router). Il controllo dei pacchetti in uscita (nella direzione out) può essere configurato tramite l'interfaccia a riga di comando (CLI) del router.

Vediamo come funziona utilizzando l'esempio di regole che bloccano il traffico ICMP.

1. Supponiamo di utilizzare l'interfaccia web per creare una regola che neghi qualsiasi indirizzo del protocollo ICMP per l'interfaccia cablata esterna dell'ISP.

fw-deny-icmp-en.png

Nel file di configurazione, vedremo le seguenti impostazioni:

access-list _WEBADMIN_GigabitEthernet1
    deny icmp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0
    deny description ICMP

...

interface GigabitEthernet1
    rename ISP
    description ISP
    ...
    ip access-group _WEBADMIN_GigabitEthernet1 in

L'elenco di regole specificato è associato all'interfaccia nella direzione in (in entrata). In questo caso, il ping verso le risorse esterne non passerà, ma le richieste dal router e le risposte dall'host saranno visibili sull'interfaccia. Con questa regola del firewall, vedremo i pacchetti di richiesta ICMP e di risposta nel dump.

dump-icmp.png

2. Per creare una regola per i pacchetti out (in uscita), è possibile utilizzare un elenco di regole esistente scollegandolo e ricollegandolo all'interfaccia. Per fare ciò, eseguire i seguenti comandi in sequenza:

interface ISP no ip access-group _WEBADMIN_GigabitEthernet1 in

interface ISP ip access-group _WEBADMIN_GigabitEthernet1 out

3. È anche possibile creare una regola out (per i pacchetti in uscita) nel modo seguente: nell'interfaccia web, eliminare la regola creata (se è stata creata in precedenza) e utilizzare la CLI per creare il proprio elenco di regole e associarlo all'interfaccia desiderata.

Nel nostro esempio, abbiamo creato un elenco denominato MyACL con una regola di negazione per il traffico ICMP, quindi l'abbiamo collegato all'interfaccia ISP e specificato la direzione out:

access-list MyACL deny icmp 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0

interface ISP ip access-group MyACL out

Di conseguenza, anche il ping verso le risorse esterne fallirà, ma il traffico ICMP non sarà più visibile sull'interfaccia, poiché verrà bloccato prima dell'invio della richiesta.