Назад | Перейти на главную страницу

Cisco ASA 5505 (8.05): асимметричный фильтр групповой политики на туннеле L2L IPSec

Я пытаюсь найти способ настроить двунаправленный туннель L2L IPSec, но с разными списками ACL групповой политики для обеих сторон.

У меня есть следующая настройка ACL фильтра, примененная и работающая над моей туннельной группой:

access-list ACME_FILTER extended permit tcp host 10.0.0.254 host 192.168.0.20 eq 22
access-list ACME_FILTER extended permit icmp host 10.0.0.254 host 192.168.0.20 

Согласно документации, фильтры VPN являются двунаправленными, вы всегда сначала указываете удаленный хост (10.0.0.254), а затем локальный хост и (необязательно) номер порта в соответствии с документацией.

Однако я не хочу, чтобы удаленный хост мог получить доступ к TCP-порту 22 (SSH) моего локального хоста, потому что в этом нет необходимости - для моего хоста требуется только доступ к SFTP-серверу удаленного хоста, а не наоборот. наоборот. Но поскольку эти ACL-списки фильтров являются двунаправленными, строка 1 также разрешает удаленному хосту доступ мой хозяин SSH-сервер.

В документация, которую я читаю мне кажется, неясно, возможно ли это; помощь / разъяснение очень ценится.

Обратите внимание, что если пользователь на удаленном конце имеет привилегированный доступ, он инициирует соединение с определенным исходным портом, включая порт 22. Таким образом они могут использовать этот ACL для подключения ОТ порта 22 на 10.0.0.254 к любому порту на 192.168.0.20 .

Это почти наверняка не является вашим намерением, но это пример того типа риска, которому вы подвергаете себя с помощью таких простых ACL.

Из того, что я прочитал в упомянутом документе, ACL, который у вас есть в настоящее время, должен разрешать удаленному хосту получать доступ к вашему локальному хосту на порту 22, но не вашему локальному хосту для доступа к удаленному хосту на порту 22. Согласно документу, ACL сохраняют состояние. , поэтому, когда пакет прибывает с удаленного хоста, предназначенного для TCP-порта 22, он соответствует ACL и разрешен. Поскольку это состояние, обратный трафик также разрешен. Когда локальный хост пытается установить соединение с TCP-портом 22 на удаленном хосте, источником является случайный высокий порт на локальном хосте, что означает, что он не соответствует требованиям acl для пакета к локальному хосту или от него на порту 22, поэтому он должен быть удален ACL. Запись ACL действительно двунаправленная, только если не указан порт tcp или udp. Приведенный ниже ACL должен реализовывать то, что вы хотите достичь:

список доступа ACME_FILTER расширенное разрешение tcp host 10.0.0.254 eq 22 host 192.168.0.20
список доступа ACME_FILTER расширенное разрешение хост icmp 10.0.0.254 хост 192.168.0.20