我有一个思科ASA,我有VPN隧道连接我的内部Windowsnetworking。 我遇到了一些麻烦login到我的域名,所以我解开了该内部接口上的所有端口。 在之前发布的一个问题上,普遍的意见是我应该在我的内部接口上阻塞端口,但是我的问题是:我应该打开哪个端口? 我已经尝试解除端口88,139,135,389和445和Windowslogin仍然给我的问题。 是否有一些MS文档告诉我什么我需要解锁,以允许Windowslogin和其他东西?
将您的ASA设置为loginDENY,然后检查您的日志。 这应该给你一个非常清楚的指示,什么盒试图谈论什么目的地。 从那里,你可以确定这个活动是否合法合理,如果是这样,你可以添加一条线来允许stream量。
继续这个过程,直到一切正常。
(可能有某个Windows文档提供了您正在查找的信息,但是我不知道它是什么。上述过程是我知道应用程序需要某种networking访问,但是我不知道需要什么端口。)
规则被添加到规则集,规则集被应用到stream量将进入的接口。 所以,如果你在里面,那么来自你的机器的stream量将进入“内部”界面,并需要遍历其他地方。
该规则集允许使用LDAP的规则可能如下所示:
access-list INSIDEACL permit tcp object-group INSIDE-NETWORKS object-group VPN-NETWORKS eq ldap
这是一个相同规则的一个非常宽松的版本:
access-list INSIDEACL permit tcp any any eq ldap
和一些你的语法:
access-list *accesslistname* *protocol* *source* *destination* *port*
对象和对象组用于使您的configuration更易于使用。 记住规则是从上到下与隐含的否定在底部!
就像克里斯托弗·卡斯尔(Christopher Cashell)说的,你需要loggingstream量,以了解你的系统需要什么。 鉴于您的业务可能不会接受一个拒绝所有stream量的DENY规则,而您可以设置一个允许规则,并logging允许的内容,并分析该规则。 然后,您可以使用它来设置更具体的PERMIT规则,然后打开DENY作为该界面的最后一个规则。 这样你只允许你允许的stream量。
微软文档应该给你他们的系统需要的端口 – 但是你将不得不为你正在使用的每个应用程序追捕他们。