Список контроля доступа на ASA, который позволяет войти в домен за ним.
Нам нужны порты TCP и UDP 445,88,389
И TCP 135,3268 и диапазон 49152-65535
object-group service AD_LOGIN tcp-udp
port-object eq 445
port-object eq 88
port-object eq 389
port-object eq domain
object-group service AD_LOGIN_TCP tcp
port-object eq 135
port-object eq 3268
port-object range 49152 65535
access-list AD_ACL extended permit tcp object <сеть откуда идет трафик> object-group <сеть с доменом> object-group AD_LOGIN
access-list AD_ACL extended permit udp object <сеть откуда идет трафик> object-group <сеть с доменом> object-group AD_LOGIN
access-list AD_ACL extended permit tcp object <сеть откуда идет трафик> object-group <сеть с доменом> object-group AD_LOGIN_TC
И TCP 135,3268 и диапазон 49152-65535
object-group service AD_LOGIN tcp-udp
port-object eq 445
port-object eq 88
port-object eq 389
port-object eq domain
object-group service AD_LOGIN_TCP tcp
port-object eq 135
port-object eq 3268
port-object range 49152 65535
access-list AD_ACL extended permit tcp object <сеть откуда идет трафик> object-group <сеть с доменом> object-group AD_LOGIN
access-list AD_ACL extended permit udp object <сеть откуда идет трафик> object-group <сеть с доменом> object-group AD_LOGIN
access-list AD_ACL extended permit tcp object <сеть откуда идет трафик> object-group <сеть с доменом> object-group AD_LOGIN_TC
Комментарии
Отправить комментарий