Cisco ASA acl 拒绝命中规则但允许流量

网络工程 思科 思科 虚拟专用网 ACL
2021-07-19 18:12:40

接口“LDAP”

access-group ldap_access_in in interface ldap
access-group ldap_access_out out interface ldap

在我开始尝试 ssh 之前,我的点击率为零;

access-list ldap_access_out line 1 extended deny tcp host 10.99.2.70 host 10.99.11.8 eq ssh (hitcnt=5) 0xa18d6298

如果我在没有连接的情况下等待十分钟,则没有命中。检查登录的远程主机,我可以看到源地址是我所期望的,并且捕获捕获了流量。

上次尝试后 4 分钟,我现在将连接 3 次并检查命中数:

[user@ldap0 ~]$ ssh 10.99.11.8
Last login: Thu Nov 20 13:48:34 2014 from 10.99.2.70
[user@root0 ~]$ logout
Connection to 10.99.11.8 closed.

[user@ldap0 ~]$ ssh 10.99.11.8
Last login: Thu Nov 20 13:53:23 2014 from 10.99.2.70
[user@root0 ~]$ ^C
[user@root0 ~]$ logout
Connection to 10.99.11.8 closed.

[user@ldap0 ~]$ ssh 10.99.11.8
Last login: Thu Nov 20 13:53:24 2014 from 10.99.2.70
[user@root0 ~]$ logout
Connection to 10.99.11.8 closed.

和 ...

access-list ldap_access_out line 1 extended deny tcp host 10.99.2.70 host 10.99.11.8 eq ssh (hitcnt=8) 0xa18d6298

我没有 sysopt permit-vpn(这是从外部接口传入的 ipsec 流量,路由到 ldap 接口。

这可能是什么原因?

2个回答

事实证明“sysopt connection permit-vpn”是隐式的,这意味着您在配置中看不到它(除非您实际上没有 sysopt connection permit-vpn)。

目前还不清楚问题是什么。您的 ASA 仍然表现得像 permit-vpn 已打开。:(

一般来说,拥有比 permit-vpn sysopt 允许的更多的灵活性是好的,因为它是全局的。您可以将 vpn 过滤器应用于该用户的组策略

我会尝试这样做只是为了确保它确实有效:

group-policy MYVPN internal
group-policy MYVPN attributes
 vpn-filter value ldap_access_out
其它你可能感兴趣的问题
上一篇如何删除通过 Panorama 在 PanOS 上配置的规则? 下一篇使用单个网卡时,我可以使用非管理型交换机代替冗余的堆叠交换机吗?