Cisco

強制 Cisco ASA 更改源埠 NAT

  • November 28, 2014

我有 2 台設備,一台 Cisco ASA,後面還有另一台設備。Cisco 和其他設備都有 IPsec 隧道,但到不同的位置。我需要確保其他設備的源埠在 NAT 時不是 UDP-500,因為它與 Cisco IPsec 服務的埠相同,因此我們看到了一個問題,即回複數據包的目的地是其他設備擊中 ASA。

根據思科關於 NAT 的常見問題解答 ( http://www.cisco.com/c/en/us/support/docs/ip/network-address-translation-nat/26704-nat-faq-00.html ),它保留了預設情況下可能的埠,基於“問。配置 PAT(重載)時,每個內部全域 IP 地址可以創建的最大轉換數量是多少?”

問:如何強制所有 PAT 映射使用源埠 > 1024?

或者,如何強制 ASA 忽略來自特定 IP 地址的 IPsec 數據包,將它們視為普通 NAT 數據包並將它們轉發回內部設備?

在 linux iptables 我會使用類似的東西: iptables -t nat -A POSTROUTING -o eth0 -p udp -j SNAT –to-source xxxx:1024-30000

通過另一種方法解決了這個問題,禁用 Cisco 上與內部設備通信的 IP 的 IPsec 訪問。通過控制平面訪問列表做到這一點:

ciscoasa(config)# access-list FILTER-VPN deny ip x.x.x.x y.y.y.y any

ciscoasa(config)# access-list FILTER-VPN permit ip any any

ciscoasa(config)# access-group FILTER-VPN in interface outside control-plane

(來源: https: //supportforums.cisco.com/discussion/12001786/restrict-certain-ip-addresses-establishing-ipsec

引用自:https://serverfault.com/questions/646036