У меня есть Cisco ASA, у меня есть туннели VPN для подключения к моей внутренней сети Windows. У меня возникли проблемы при входе в свой домен, поэтому я разблокировал все порты на этом внутреннем интерфейсе. По предыдущему вопросу, размещенному здесь, общее мнение заключалось в том, что я должен блокировать порты на моем внутреннем интерфейсе, но мой вопрос: какие порты я должен разблокировать? Я пробовал разблокировать порты 88, 139, 135, 389 и 445, но вход в Windows по-прежнему вызывает у меня проблемы. Есть ли где-нибудь документация MS, в которой говорится, что мне нужно разблокировать, чтобы разрешить вход в Windows и другие вещи?
Настройте ASA на регистрацию ОТКАЗОВ, а затем проверьте свои журналы. Это должно дать вам очень четкое представление о том, какие ящики с какими адресатами пытаются связаться. Оттуда вы можете определить, выглядит ли действие законным и разумным, и если да, вы можете добавить строку для разрешения трафика.
Продолжайте этот процесс, пока все не заработает должным образом.
(Где-то может быть документ Windows, который действительно предоставляет информацию, которую вы ищете, но я не знаю, что это насквозь. Вышеописанный процесс - это то, что я обычно выполняю, когда знаю, что приложению требуется какой-то доступ к сети. , но я не знаю, какие порты требуются.)
Как говорит Кристофер Кашелл, вам нужно регистрировать трафик, чтобы знать, что требуется для всех ваших систем. Учитывая, что ваша компания может не принимать правило DENY, которое блокирует весь трафик, пока вы выясняете, что требуется, вы можете вместо этого установить правило PERMIT, регистрировать то, что разрешено, и анализировать это. Затем вы можете использовать это для настройки более конкретных правил PERMIT, а затем включить DENY в качестве последнего правила для этого интерфейса. Таким образом, вы разрешаете только разрешенный вами трафик.
Документация Microsoft должна предоставить вам порты, необходимые их системам, но вам придется искать их для каждого приложения, которое вы используете.
правила добавляются в наборы правил, а наборы правил применяются к интерфейсу, на который будет входить трафик. Таким образом, если вы находитесь внутри, то трафик, исходящий с вашего компьютера, попадет на «внутренний» интерфейс, и ему нужно будет пройти куда-то еще.
Правило в этом наборе правил, разрешающее LDAP, может выглядеть примерно так:
access-list INSIDEACL permit tcp object-group INSIDE-NETWORKS object-group VPN-NETWORKS eq ldap
вот действительно упрощенная версия того же правила:
access-list INSIDEACL permit tcp any any eq ldap
и немного синтаксиса для вас:
access-list *accesslistname* *protocol* *source* *destination* *port*
объекты и группы объектов используются для упрощения работы с вашей конфигурацией. помните, что правила сопоставляются сверху вниз с неявным отказом внизу!