ASA上部署ACL疑问

米兰魅影

请教各路大神,小弟做了个ASA上部署ACL的小实验，基本路由和接口地址安全级别配置都没问题，只是在Outside接口应用ACL时有个问题：
1.access-list yuan permit tcp host 172.16.1.1 host 10.1.1.1   eq 23  这条命令只允许host172.16.1.1 访问 host 10.1.1.1的tcp 23端口
2.access-group yuan in interface outside 将ACL应用到Outside接口的in方向
3.可是为什么R1可以Telnet到R2?根据ACL限制，TCP建立连接三次握手的第2步，R2确认R1的连接请求并向R1请求连接时，目标IP为R1的地址目标端口号是R1随机生成的，这样就不匹配ACL的语句，隐含的条件应该是被拒绝，实在是不解，期待大神解释（用的GNS3模拟器）先谢谢咯

米兰魅影

自己顶顶，期待前辈提点

ccie108

因为ASA是状态化防火墙哦

米兰魅影

ccie108 发表于 2014-10-29 17:16
因为ASA是状态化防火墙哦

谢谢朋友回复,可是入站的Outside接口有ACL情况下，不是应该先匹配ACL条目，若没有匹配的条目，ACL隐含的是拒绝所有流量，没有ACL时才会看CONN连接表吧，刚接触ASA防火墙，不懂之处还请多多指教

米兰魅影

ccie108 发表于 2014-10-29 17:16
因为ASA是状态化防火墙哦

是不是这个意思，如果Outside接口配置了ACL，则先匹配里面的条目，若无明确允许，则比对CONN表，表中有匹配信息则通过，没有则丢弃

kgdpgf

ACL 好像不能控制本地流量吧？好像是，记不太清楚，你查查看

米兰魅影

kgdpgf 发表于 2014-10-29 19:29
ACL 好像不能控制本地流量吧？好像是，记不太清楚，你查查看

谢谢朋友

phil

Thanks for your information.