Brocade Communications Systems ServerIron ADX 12.4.00a Security Manual page 6

viii
ACL logging . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 70
Dropping all fragments that exactly match a flow-based ACL . . . . . 72
Enabling ACL filtering of fragmented packets . . . . . . . . . . . . . . . . . . 73
Enabling hardware filtering for packets denied by flow-based ACLs75
Enabling strict TCP or UDP mode for flow-based ACLs . . . . . . . . . . . 76
ACLs and ICMP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
Using ACLs and NAT on the same interface (flow-based ACLs) . . . . 82
Displaying ACL bindings . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
Troubleshooting rule-based ACLs. . . . . . . . . . . . . . . . . . . . . . . . . . . . 83
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 84
Chapter 3 IPv6 Access Control Lists
IACL overview. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 85
Using an ACL to Restrict SSH Access. . . . . . . . . . . . . . . . . . . . . . . . . 94
Using an ACL to Restrict Telnet Access . . . . . . . . . . . . . . . . . . . . . . . 95
Logging IPv6 ACLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 95
Chapter 4 Network Address Translation
Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
Configuring NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 97
PAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .103
Forwarding packets without NAT translation. . . . . . . . . . . . . . . . . .103
Displaying ACL log entries . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 71
Displaying ACL statistics for flow-based ACLs . . . . . . . . . . . . . . 72
Clearing flow-based ACL statistics . . . . . . . . . . . . . . . . . . . . . . . 72
Clearing the ACL statistics. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 73
Filtering fragmented packets for rule-based ACLs. . . . . . . . . . . 73
Enabling strict TCP mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 76
Enabling strict UDP mode . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 77
Configuring ACL packet and flow counters. . . . . . . . . . . . . . . . . 78
Using flow-based ACLs to filter ICMP packets based on the IP packet
length . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 79
ICMP filtering with flow-based ACLs . . . . . . . . . . . . . . . . . . . . . . 79
Configuration Notes . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Processing of IPv6 ACLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 86
Configuring an IPv6 ACL . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 87
Applying an IPv6 ACL to an interface . . . . . . . . . . . . . . . . . . . . . 93
Displaying ACLs . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 94
Displaying ACLs bound to an interface. . . . . . . . . . . . . . . . . . . . 94
Configuring static NAT . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
Configuring dynamic NAT. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 98
NAT configuration examples . . . . . . . . . . . . . . . . . . . . . . . . . . . . 99
ServerIron ADX Security Guide
53-1002440-03