Cisco ASA 5505(8.05):L2L IPSec 隧道上的非对称组策略过滤器

Cisco ASA 5505(8.05):L2L IPSec 隧道上的非对称组策略过滤器

我正在尝试找到一种方法来设置双向 L2L IPSec 隧道,但双方的组策略过滤器 ACL 不同。

我已经设置、应用了以下过滤器 ACL,并且它正在我的隧道组上运行:

access-list ACME_FILTER extended permit tcp host 10.0.0.254 host 192.168.0.20 eq 22
access-list ACME_FILTER extended permit icmp host 10.0.0.254 host 192.168.0.20 

根据文档,VPN 过滤器是双向的,您总是首先指定远程主机(10.0.0.254),然后指定本地主机和(可选)端口号,如文档所述。

但是,我不希望远程主机能够访问本地主机的 TCP 端口 22(SSH),因为没有要求这样做——只需要我的主机访问远程主机的 SFTP 服务器,而不是反之亦然。但由于这些过滤器 ACL 是双向的,因此第 1 行也允许远程主机访问我的主人SSH 服务器。

我正在阅读的文档我似乎不清楚这是否可能;非常感谢帮助/澄清。

答案1

根据我对参考文档的阅读,您当前设置的 ACL 应该允许远程主机通过端口 22 访问本地主机,但不允许本地主机通过端口 22 访问远程主机。根据文档,ACL 是有状态的,因此当数据包从远程主机到达目的地为 tcp 端口 22 时,它会与 ACL 匹配并被允许。由于它是有状态的,因此返回流量也是被允许的。当本地主机尝试与远程主机上的 tcp 端口 22 建立连接时,源是本地主机上的随机高端口,这意味着它不符合往返于本地主机端口 22 的数据包的 acl 要求,因此它应该被 ACL 丢弃。如果没有指定 tcp 或 udp 端口​​,ACL 条目才是真正的双向。下面的 ACL 应该实现您想要实现的目标:

访问列表 ACME_FILTER 扩展允许 tcp 主机 10.0.0.254 eq 22 主机 192.168.0.20
访问列表 ACME_FILTER 扩展允许 icmp 主机 10.0.0.254 主机 192.168.0.20

答案2

请注意,如果远程端用户具有特权访问,他们将启动与特定源端口(包括端口 22)的连接。通过这样做,他们可以使用此 ACL 从 10.0.0.254 上的端口 22 连接到 192.168.0.20 上的任何端口。

这几乎肯定不是您的本意,但却是您使用这些简单的 ACL 所面临的安全风险类型的一个例子。

相关内容