URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 14701
[ Назад ]

Исходное сообщение
"как правильно повесить ip inspect"
Отправлено Mishunja , 19-Окт-07 13:06

Hello, All!
Есть 3725. На интерфейсе, подключенном к интернет висит ACL, который блокирует весь трафик на циску, кроме icmp.
На интерфейсе в сторону локалки висит ip inspect FW_inside in.
Трафик из локалки через nat спокойно бегает в интернет и обратно.
НО! циска не резолвит имена, так как правило ip inspect на нее не распространяется.
Подскажите, как правильно повесить ip inspect, чтобы CBAC отслеживал собственный трафик циски и открывал ACL для ответного трафика?

Содержание

как правильно повесить ip inspect,Изгой, 14:56 , 19-Окт-07
проблема решена,mishunja, 01:44 , 25-Окт-07

Сообщения в этом обсуждении

"как правильно повесить ip inspect"
Отправлено Изгой , 19-Окт-07 14:56

>[оверквотинг удален]
>Есть 3725. На интерфейсе, подключенном к интернет висит ACL, который блокирует весь
>трафик на циску, кроме icmp.
>
>На интерфейсе в сторону локалки висит ip inspect FW_inside in.
>Трафик из локалки через nat спокойно бегает в интернет и обратно.
>
>НО! циска не резолвит имена, так как правило ip inspect на нее
>не распространяется.
>Подскажите, как правильно повесить ip inspect, чтобы CBAC отслеживал собственный трафик циски
>и открывал ACL для ответного трафика?
В общем так в принципе , я не видел вашь конфиг .. в принципе без разницы куда прикручивать инспект к внешнему или внутреннему интерфейсу .. у вас он in к внутреннему похоже так ?? Значит тот трафик который вы разрешаете на этот интерфейс in будет разрешаться обратный поток на внешнем интерфейсе .... вот так вот ..

"проблема решена"
Отправлено mishunja , 25-Окт-07 01:44

проблема решается добавлением ключа router-traffic при описании правила ip inspect
ip inspect name Local_Traf udp router-traffic
interface GigabitEthernet0/1.1
ip inspect Local_Traf out