我有一台 Cisco ASA,我通过 VPN 隧道连接我的内部 Windows 网络。我在登录域时遇到了一些问题,因此我解除了该内部接口上的所有端口的阻塞。在之前发布在这里的问题中,普遍的共识是我应该阻塞内部接口上的端口,但我的问题是:我应该解除哪些端口的阻塞?我尝试解除端口 88、139、135、389 和 445 的阻塞,但 Windows 登录仍然出现问题。是否有一些 MS 文档告诉我需要解除哪些阻塞才能允许 Windows 登录和其他操作?
答案1
将 ASA 设置为记录 DENY,然后检查日志。这应该会让您清楚地了解哪些盒子正在尝试与哪些目的地通信。从那里,您可以确定活动是否合法合理,如果是,您可以添加一行以允许流量。
继续此过程直到一切正常运行。
(某个地方可能有一份 Windows 文档提供您正在寻找的信息,但我不知道它是什么。当我知道应用程序需要某种网络访问但不知道需要哪些端口时,我通常会遵循上述过程。)
答案2
规则被添加到规则集中,规则集被应用到流量进入的接口。因此,如果您在内部,那么来自您机器的流量将从“内部”接口进入,并需要遍历到其他地方。
该规则集中允许 LDAP 的规则可能如下所示:
access-list INSIDEACL permit tcp object-group INSIDE-NETWORKS object-group VPN-NETWORKS eq ldap
这是同一规则的一个非常宽松的版本:
access-list INSIDEACL permit tcp any any eq ldap
以及一些语法:
access-list *accesslistname* *protocol* *source* *destination* *port*
对象和对象组用于使您的配置更易于使用。记住规则是从上到下匹配的,底部隐式拒绝!
答案3
就像 Christopher Cashell 所说的那样,您需要记录流量以了解所有系统的要求。考虑到您的业务可能不会接受阻止所有流量的 DENY 规则,而您需要弄清楚需要什么,您可以改为设置 PERMIT 规则,并记录允许的内容并进行分析。然后,您可以使用它来设置更具体的 PERMIT 规则,然后将 DENY 作为该接口的最后一条规则。这样,您就只允许您允许的流量。
Microsoft 文档应该为您提供其系统所需的端口 - 但您必须针对所使用的每个应用程序来寻找它们。