强制Cisco ASA更改源端口NAT
我有两个设备,一个思科ASA和坐在它后面的另一个设备。思科和其他设备都有IPsec隧道,但地点不同。我需要确保另一个设备的源端口在NAT时不是UDP-500,因为这是与思科IPsec服务相同的端口,因此我们看到了一个问题,即发送给另一个设备的应答包会击中ASA。
根据思科的FAQ on NAT (http://www.cisco.com/c/en/us/support/docs/ip/network-address-translation-nat/26704-nat-faq-00.html),它在默认情况下保留端口,根据"Q.当为PAT (重载)配置时,每个全球IP地址内可以创建的翻译的最大数量是多少?“
问:如何强制所有PAT映射使用源端口> 1024?
或者,我如何强迫ASA忽略来自特定IP地址的IPsec数据包,并将它们当作正常的NAT数据包,并将它们转发回内部设备?
在linux iptables上,我将使用类似于: iptables -t nat -A POSTROUTING -o eth0 -p udp -j SNAT -to-source x.x:1024-30000。
回答 1
Server Fault用户
发布于 2014-11-28 13:31:51
通过另一种方式解决了这一问题,即禁用思科上对内部设备正在通信的is的IPsec访问。这是通过控制飞机进入列表进行的:
ciscoasa(config)# access-list FILTER-VPN拒绝ip x.x y.y任何ciscoasa(config)# access-list过滤器-VPN允许ip在接口外部控制平面上的任何ciscoasa(config)# access-group FILTER-VPN。
(资料来源:https://supportforums.cisco.com/discussion/12001786/restrict-certain-ip-addresses-establishing-ipsec)
https://serverfault.com/questions/646036
复制相似问题
腾讯云开发者
