最简单且唯一需要的仅互联网访问控制列表（ACL）

作者：Jordan Drysdale
Jordan在科技行业已有25年经验，因Napster而深陷技术领域。作为Black Hills Information Security团队十年成员，并以讲师身份参与Antisyphon Training的快速发展。

摘要（tl;dr）

使用任何网络设备、云ACL配置或简单防火墙实施以下ACL来保护网络。本例中IoT设备位于10.99.99.0/24网段。同时，内部网络避免使用非RFC 1918地址。根据配置，以下伪逻辑格式（<允许或拒绝> <源IP> <目标IP> <协议>）应通用：

1
2
3
4

deny 10.99.99.0/24 10.0.0.0/8 any  
deny 10.99.99.0/24 172.16.0.0/12 any  
deny 10.99.99.0/24 192.168.0.0/16 any  
allow 10.99.99.0/24 0.0.0.0/0 any

详细版本

想象一下——您正在为Roku电视、IoT设备和无线访客实施一个新的网络块。它们都需要互联网访问，但绝不需要访问其他任何内容。当它们从网络获取DHCP租约时，应在租约提供中配置一两个公共DNS服务器。并非所有解析器都相同，但OpenDNS等可能提供更多隐私性。

一旦主机获得一两个公共IP地址进行名称解析，以下ACL将通过四条简洁规则阻止电视访问任何RFC-1918地址。此特定配置将防止这些主机访问标准内部网络范围内的任何内容：

1
2
3
4

deny 10.99.99.0/24 10.0.0.0/8 any  
deny 10.99.99.0/24 172.16.0.0/12 any  
deny 10.99.99.0/24 192.168.0.0/16 any  
allow 10.99.99.0/24 any any

这将允许该网段与任何公共IP地址通信。仅此而已。
感谢阅读，
-jd