Vpn

Cisco ASA 5505 (8.05):L2L IPSec 隧道上的非對稱組策略過濾器

  • September 18, 2012

我正在嘗試找到一種方法來設置雙向 L2L IPSec 隧道,但雙方的組策略過濾器 ACL 不同。

我有以下過濾器 ACL 設置、應用和處理我的隧道組:

access-list ACME_FILTER extended permit tcp host 10.0.0.254 host 192.168.0.20 eq 22
access-list ACME_FILTER extended permit icmp host 10.0.0.254 host 192.168.0.20 

根據文件,VPN 過濾器是雙向的,根據文件,您始終首先指定遠端主機 (10.0.0.254),然後是本地主機和(可選)埠號。

但是,我不希望遠端主機能夠訪問我本地主機的 TCP 埠 22 (SSH),因為不需要這樣做——我的主機只需要訪問遠端主機的 SFTP 伺服器,而不是副-反之亦然。但是由於這些過濾器 ACL 是雙向的,所以第 1 行也允許遠端主機訪問我主機的SSH 伺服器。

如果可能的話,我正在閱讀的文件似乎並不清楚;非常感謝幫助/澄清。

根據我對參考文件的閱讀,您目前擁有的 ACL 應該允許遠端主機訪問埠 22 上的本地主機,但不允許本地主機訪問埠 22 上的遠端主機。根據文件,ACL 是有狀態的,因此當一個數據包從遠端主機到達 tcp 埠 22 時,它匹配 ACL 並被允許。因為它是有狀態的,所以也允許返回流量。當本地主機嘗試與遠端主機上的 tcp 埠 22 建立連接時,源是本地主機上的一個隨機高埠,這意味著它不符合在埠 22 上進出本地主機的數據包的 acl 要求,因此它應該被 ACL 刪除。如果沒有指定 tcp 或 udp 埠​​,ACL 條目才真正是雙向的。下面的 ACL 應該實現您想要實現的目標:

訪問列表 ACME_FILTER 擴展許可 tcp 主機 10.0.0.254 eq 22 主機 192.168.0.20

訪問列表 ACME_FILTER 擴展許可 icmp 主機 10.0.0.254 主機 192.168.0.20

引用自:https://serverfault.com/questions/223149