今天用ASA防火牆測試了一下蒲公英vpn訪問外網需要放行的端口,經過測試只需從內到外放行3個端口:
1.tcp--443
2.udp--53 #域名查詢
3.udp--4118 #用於轉發服務器域名時會用到
access-list ×××ide-acl extended permit tcp host 20.1.1.18 any eq https
access-list ×××ide-acl extended permit udp any any eq domain
access-list ×××ide-acl extended permit udp any any eq 4118
如果配置在hosts文件中配置了這三個域名的記錄,udp53端口都不需要放:
118.31.165.179 pgyapi.oray.net
47.110.89.87 pgy-std06.oray.net
47.110.80.44 pgyp2p01.oray.net
並且策略只需要放單向的,即只需要放內網主動訪問外網的策略,不需要放外網主動訪問內網的策略。
如果用蒲公英VPN,再配合端口轉發一個內網的ssh服務器,那幾乎無敵了,根本不需要teamviewer和向日葵,直接控制桌面,就可以輕鬆通過ssh隧道訪問內網的機器,如果蒲公英vpn是裝在內網的一臺linux上面,端口轉發都可以省了。