我正在使用 ADSM for ASA 工具。
我正在尝试使用端口 3306 将服务连接到 mysql 服务器。该服务在另一个网络上的服务器上运行到 mysql 服务器。已经确定这 2 个服务器可以使用 SSH 通过站点到站点 VPN 进行通信。
我的问题是我将应用 ACL 允许在使用端口 3360 的这两个服务器之间严格访问的哪个接口 - 考虑到它们是通过站点到站点 VPN 连接连接的?
我假设应用于站点到站点 VPN 的 ACL/过滤器配置文件的 ACL 会起作用,但我仍然遇到连接问题。访问规则下的接口是否需要额外配置?或者我的 ACL 规则是否需要移动到 external_in 或 outside_access_in ACL?
提前感谢您的任何帮助。
对于站点到站点隧道,隧道的每一侧通常有 2 个 ACL:1 个 ACL 允许流量进入防火墙本身,然后另一个 ACL 定义要通过隧道发送哪些流量(通常称为“有趣的交通”)。您将需要两个 ACL 来说明您的流量。第一个,授权服务器与其伙伴交谈,另一个告诉它流量是隧道的一部分,所以它知道如何到达目的地。
编辑(隧道每一侧的 ACL 示例):
防火墙 1:
access-list from-inside extended permit tcp host xxx.xxx.xxx.xxx host yyy.yyy.yyy.yyy eq 3306
access-list site-to-site-acl extended permit ip host xxx.xxx.xxx.xxx host yyy.yyy.yyy.yyy
防火墙 2:
access-list from-inside extended permit tcp host yyy.yyy.yyy.yyy eq 3306 host xxx.xxx.xxx.xxx
access-list site-to-site-acl extended permit ip host yyy.yyy.yyy.yyy host xxx.xxx.xxx.xxx
因此,来自内部的 ACL 允许流量进入防火墙(其中的源和目的地在任一侧反转),站点到站点的 acl 考虑要通过每一侧的隧道发送的流量(使用源和目标在任一侧反转)。我所写的唯一区别是,一个是将协议限制为 TCP,将端口限制为 3306,而另一个是允许“ip”,这意味着它允许所有协议和所有端口)。这样做的原因是,每次您需要允许其他东西通过隧道时,您不必更改加密映射 ACL(这将需要弹跳/重新启动隧道-您只需在 from-在 ACL 内部允许流量进入,而让站点到站点的 acl 单独存在。
作为记录,这仅对基于策略的站点到站点隧道有效。基于路由的隧道不使用加密映射或关联的“有趣的流量”ACL。