URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 414
[ Назад ]

Исходное сообщение
"IP inspect на 2951"
Отправлено Ivan Pomidorov , 25-Дек-12 11:39

Подскажите, как в роутерах с иосом старше 15 настраивается инспектирование протоколов (имеется ввиду когда роутер сохраняет сессию инициированную изнутри, и пропускает ответный трафик).
Помниться в старых иосах была комманда ip inspect, а в 15 нет. У меня ios 15.1(4)M4 с UC лицензией, похоже что нужно иметь security.. хотелось бы знать как назывется технология чтобы поискать во feature navigator.

Содержание

IP inspect на 2951,Valery12, 12:25 , 25-Дек-12
- IP inspect на 2951,Ivan Pomidorov, 14:48 , 25-Дек-12
- IP inspect на 2951,Ivan Pomidorov, 15:04 , 25-Дек-12
  - IP inspect на 2951,elk_killa, 15:10 , 25-Дек-12
    - IP inspect на 2951,VolanD, 19:20 , 25-Дек-12
      - IP  inspect на 2951,elk_killa, 23:21 , 25-Дек-12
        
        IP  inspect на 2951,VolanD, 11:32 , 26-Дек-12
        
        IP  inspect на 2951,elk_killa, 17:14 , 26-Дек-12
        IP  inspect на 2951,elk_killa, 17:25 , 26-Дек-12
  - IP inspect на 2951,VolanD, 19:19 , 25-Дек-12
    - IP inspect на 2951,Ivan Pomidorov, 09:03 , 26-Дек-12

Сообщения в этом обсуждении

"IP inspect на 2951"
Отправлено Valery12 , 25-Дек-12 12:25

> Подскажите, как в роутерах с иосом старше 15 настраивается инспектирование протоколов (имеется
> ввиду когда роутер сохраняет сессию инициированную изнутри, и пропускает ответный трафик).
> Помниться в старых иосах была комманда ip inspect, а в 15 нет.
> У меня ios 15.1(4)M4 с UC лицензией, похоже что нужно иметь
> security.. хотелось бы знать как назывется технология чтобы поискать во feature
> navigator.
в новых ip inspect тоже никуда не делся просто нужен IOS с firewall feature set, а он действительно в security, технология называется CBAC (Context-Based Access Control)

"IP inspect на 2951"
Отправлено Ivan Pomidorov , 25-Дек-12 14:48

Премного благодарен

"IP inspect на 2951"
Отправлено Ivan Pomidorov , 25-Дек-12 15:04

В таком случае, если лицензии не будет, то мне нужно будет явно разрешить в acl ходить из интернета всем к адресам тех пользователей которые ходят в интернет, чтобы до них доходили ответы?
Или можно как то правильнее сделать?

"IP inspect на 2951"
Отправлено elk_killa , 25-Дек-12 15:10

> В таком случае, если лицензии не будет, то мне нужно будет явно
> разрешить в acl ходить из интернета всем к адресам тех пользователей
> которые ходят в интернет, чтобы до них доходили ответы?
> Или можно как то правильнее сделать?
permit tcp xx xx established

"IP inspect на 2951"
Отправлено VolanD , 25-Дек-12 19:20

>> В таком случае, если лицензии не будет, то мне нужно будет явно
>> разрешить в acl ходить из интернета всем к адресам тех пользователей
>> которые ходят в интернет, чтобы до них доходили ответы?
>> Или можно как то правильнее сделать?
> permit tcp xx xx established
я так понял автор закрыться хочет. а тут пакет с син флагом обойдет это правило ИМХО.

"IP inspect на 2951"
Отправлено elk_killa , 25-Дек-12 23:21

>> permit tcp xx xx established
> я так понял автор закрыться хочет. а тут пакет с син флагом
> обойдет это правило ИМХО.
разве для этого сначала не должен пройти син _изнутри_наружу_? А без этого безусловно разрешить ответный траффик полностью по протоколам еще более несукурно
ну или костылить рефлексив, ага

"IP inspect на 2951"
Отправлено VolanD , 26-Дек-12 11:32

>>> permit tcp xx xx established
>> я так понял автор закрыться хочет. а тут пакет с син флагом
>> обойдет это правило ИМХО.
> разве для этого сначала не должен пройти син _изнутри_наружу_? А без этого
> безусловно разрешить ответный траффик полностью по протоколам еще более несукурно
> ну или костылить рефлексив, ага
Могу ошибаться, но вроде как начальный syn не отслеживается. Отслеживается ack во входящем пакете. Но не факт, могу ошибаться.

"IP inspect на 2951"
Отправлено elk_killa , 26-Дек-12 17:14

>>>> permit tcp xx xx established
>>> я так понял автор закрыться хочет. а тут пакет с син флагом
>>> обойдет это правило ИМХО.
>> разве для этого сначала не должен пройти син _изнутри_наружу_? А без этого
>> безусловно разрешить ответный траффик полностью по протоколам еще более несукурно
>> ну или костылить рефлексив, ага
> Могу ошибаться, но вроде как начальный syn не отслеживается. Отслеживается ack во
> входящем пакете. Но не факт, могу ошибаться.
ну на мой взгляд, было бы глупо пропускать любой пакет с syn ack без syn изнутри :)
точного подтверждения тоже не нагуглил, так что на правах имхо

"IP inspect на 2951"
Отправлено elk_killa , 26-Дек-12 17:25

>>>> permit tcp xx xx established
>>> я так понял автор закрыться хочет. а тут пакет с син флагом
>>> обойдет это правило ИМХО.
>> разве для этого сначала не должен пройти син _изнутри_наружу_? А без этого
>> безусловно разрешить ответный траффик полностью по протоколам еще более несукурно
>> ну или костылить рефлексив, ага
> Могу ошибаться, но вроде как начальный syn не отслеживается. Отслеживается ack во
> входящем пакете. Но не факт, могу ошибаться.
погуглил, похоже, правда ваша

"IP inspect на 2951"
Отправлено VolanD , 25-Дек-12 19:19

> В таком случае, если лицензии не будет, то мне нужно будет явно
> разрешить в acl ходить из интернета всем к адресам тех пользователей
> которые ходят в интернет, чтобы до них доходили ответы?
> Или можно как то правильнее сделать?
рефлексивный ацл не подойдет?

"IP inspect на 2951"
Отправлено Ivan Pomidorov , 26-Дек-12 09:03

> рефлексивный ацл не подойдет?
Почитал про establish. Насколько я понял это слово как раз и предназначено чтобы не пускать пакеты с флагом syn снаружи, правда только для tcp траффика. Мне этого достаточно. Ну а если придеться заморачиваться icmp, то похоже что нужен как раз reflect acl.
Спасибо. Буду пробывать.