Поскольку в вопросе не указано, какой синтаксис следует ожидать для списков ACL (т. Е. У вас нет ссылок для проверки), можно предположить, что синтаксис был просто составлен на месте, и все опечатки также могут быть случайными (возможно, после нескольких раундов печати, перепечатывания, фотокопирования и / или распознавания).
Если вы защищаете веб-сервер, на котором размещены общедоступные веб-сайты, естественно, вы захотите принимать клиентов из любого места (т.е. из любого источника). И наоборот, если у вас есть несколько клиентов за этим брандмауэром, обычно они захотят получить доступ ко всему интернету (то есть к любому месту назначения). В любом случае, по крайней мере одна сторона, являющаяся «ЛЮБОЙ», неизбежна.
Соединения TCP обычно имеют хорошо известный порт на стороне «сервера», но временный порт (случайный и с большим номером) на стороне «клиента». Это позволяет различать несколько подключений от одного клиента к одному и тому же сервису на одном сервере.
Это означает, что вы практически никогда не увидите 1 порт 80 одновременно на «sport» и «dport». Поэтому вы можете пропустить эти ACL как неправильные.
Как уже упоминалось, известный порт (80 для HTTP) находится на стороне сервера. Сервер будет получать пакеты с DPORT: 80 и отправлять пакеты с SPORT: 80.
Это означает, что списки ACL с DPORT: 80 должны иметь SRCIP, который будет соответствовать клиентам (браузерам), и / или DSTIP, соответствующий веб-серверам. Обратное относится к СПОРТУ: 80.
Как уже упоминалось, пакеты текут в двух направлениях. Поскольку межсетевой экран не имеет состояния, ему нужны два ACL, по одному для каждого направления.
1 Следует пояснить, что идентичные порты источника и назначения разрешены для каждого протокола, что невероятно редко при обычном использовании TCP. (Существуют исключения, например, BGP иногда использует 179 - 179.)