Cisco ASA 5505 (8.05)：L2L IPSec 隧道上的非對稱組策略過濾器

我正在嘗試找到一種方法來設置雙向 L2L IPSec 隧道，但雙方的組策略過濾器 ACL 不同。

我有以下過濾器 ACL 設置、應用和處理我的隧道組：

access-list ACME_FILTER extended permit tcp host 10.0.0.254 host 192.168.0.20 eq 22
access-list ACME_FILTER extended permit icmp host 10.0.0.254 host 192.168.0.20 

根據文件，VPN 過濾器是雙向的，根據文件，您始終首先指定遠端主機 (10.0.0.254)，然後是本地主機和（可選）埠號。

但是，我不希望遠端主機能夠訪問我本地主機的 TCP 埠 22 (SSH)，因為不需要這樣做——我的主機只需要訪問遠端主機的 SFTP 伺服器，而不是副-反之亦然。但是由於這些過濾器 ACL 是雙向的，所以第 1 行也允許遠端主機訪問我主機的SSH 伺服器。

如果可能的話，我正在閱讀的文件似乎並不清楚；非常感謝幫助/澄清。

根據我對參考文件的閱讀，您目前擁有的 ACL 應該允許遠端主機訪問埠 22 上的本地主機，但不允許本地主機訪問埠 22 上的遠端主機。根據文件，ACL 是有狀態的，因此當一個數據包從遠端主機到達 tcp 埠 22 時，它匹配 ACL 並被允許。因為它是有狀態的，所以也允許返回流量。當本地主機嘗試與遠端主機上的 tcp 埠 22 建立連接時，源是本地主機上的一個隨機高埠，這意味著它不符合在埠 22 上進出本地主機的數據包的 acl 要求，因此它應該被 ACL 刪除。如果沒有指定 tcp 或 udp 埠​​，ACL 條目才真正是雙向的。下面的 ACL 應該實現您想要實現的目標：

訪問列表 ACME_FILTER 擴展許可 tcp 主機 10.0.0.254 eq 22 主機 192.168.0.20

訪問列表 ACME_FILTER 擴展許可 icmp 主機 10.0.0.254 主機 192.168.0.20

引用自：https://serverfault.com/questions/223149