https://m.opennet.me/openforum/vsluhforumID6/414.html Подскажите, как в роутерах с иосом старше 15 настраивается инспектирование протоколов (имеется ввиду когда роутер сохраняет сессию инициированную изнутри, и пропускает ответный трафик).<br>Помниться в старых иосах была комманда ip inspect, а в 15 нет. У меня ios 15.1(4)M4 с UC лицензией, похоже что нужно иметь security.. хотелось бы знать как назывется технология чтобы поискать во feature navigator.<br><br> https://m.opennet.me/openforum/vsluhforumID6/414.html#11 Wed, 26 Dec 2012 13:25:19 GMT &gt;&gt;&gt;&gt; permit tcp xx xx established <br>&gt;&gt;&gt; я так понял автор закрыться хочет. а тут пакет с син флагом <br>&gt;&gt;&gt; обойдет это правило ИМХО.<br>&gt;&gt; разве для этого сначала не должен пройти син _изнутри_наружу_? А без этого <br>&gt;&gt; безусловно разрешить ответный траффик полностью по протоколам еще более несукурно <br>&gt;&gt; ну или костылить рефлексив, ага <br>&gt; Могу ошибаться, но вроде как начальный syn не отслеживается. Отслеживается ack во <br>&gt; входящем пакете. Но не факт, могу ошибаться.<br><br>погуглил, похоже, правда ваша<br> https://m.opennet.me/openforum/vsluhforumID6/414.html#10 Wed, 26 Dec 2012 13:14:58 GMT &gt;&gt;&gt;&gt; permit tcp xx xx established <br>&gt;&gt;&gt; я так понял автор закрыться хочет. а тут пакет с син флагом <br>&gt;&gt;&gt; обойдет это правило ИМХО.<br>&gt;&gt; разве для этого сначала не должен пройти син _изнутри_наружу_? А без этого <br>&gt;&gt; безусловно разрешить ответный траффик полностью по протоколам еще более несукурно <br>&gt;&gt; ну или костылить рефлексив, ага <br>&gt; Могу ошибаться, но вроде как начальный syn не отслеживается. Отслеживается ack во <br>&gt; входящем пакете. Но не факт, могу ошибаться.<br><br>ну на мой взгляд, было бы глупо пропускать любой пакет с syn ack без syn изнутри :)<br>точного подтверждения тоже не нагуглил, так что на правах имхо<br> https://m.opennet.me/openforum/vsluhforumID6/414.html#9 Wed, 26 Dec 2012 07:32:36 GMT &gt;&gt;&gt; permit tcp xx xx established <br>&gt;&gt; я так понял автор закрыться хочет. а тут пакет с син флагом <br>&gt;&gt; обойдет это правило ИМХО.<br>&gt; разве для этого сначала не должен пройти син _изнутри_наружу_? А без этого <br>&gt; безусловно разрешить ответный траффик полностью по протоколам еще более несукурно <br>&gt; ну или костылить рефлексив, ага <br><br>Могу ошибаться, но вроде как начальный syn не отслеживается. Отслеживается ack во входящем пакете. Но не факт, могу ошибаться.<br> https://m.opennet.me/openforum/vsluhforumID6/414.html#8 Wed, 26 Dec 2012 05:03:44 GMT &gt; рефлексивный ацл не подойдет?<br><br>Почитал про establish. Насколько я понял это слово как раз и предназначено чтобы не пускать пакеты с флагом syn снаружи, правда только для tcp траффика. Мне этого достаточно. Ну а если придеться заморачиваться icmp, то похоже что нужен как раз reflect acl.<br><br>Спасибо. Буду пробывать.<br><br> https://m.opennet.me/openforum/vsluhforumID6/414.html#7 Tue, 25 Dec 2012 19:21:26 GMT &gt;&gt; permit tcp xx xx established <br>&gt; я так понял автор закрыться хочет. а тут пакет с син флагом <br>&gt; обойдет это правило ИМХО.<br><br>разве для этого сначала не должен пройти син _изнутри_наружу_? А без этого безусловно разрешить ответный траффик полностью по протоколам еще более несукурно<br>ну или костылить рефлексив, ага<br> https://m.opennet.me/openforum/vsluhforumID6/414.html#6 Tue, 25 Dec 2012 15:20:06 GMT &gt;&gt; В таком случае, если лицензии не будет, то мне нужно будет явно <br>&gt;&gt; разрешить в acl ходить из интернета всем к адресам тех пользователей <br>&gt;&gt; которые ходят в интернет, чтобы до них доходили ответы?<br>&gt;&gt; Или можно как то правильнее сделать?<br>&gt; permit tcp xx xx established <br><br>я так понял автор закрыться хочет. а тут пакет с син флагом обойдет это правило ИМХО.<br> https://m.opennet.me/openforum/vsluhforumID6/414.html#5 Tue, 25 Dec 2012 15:19:21 GMT &gt; В таком случае, если лицензии не будет, то мне нужно будет явно <br>&gt; разрешить в acl ходить из интернета всем к адресам тех пользователей <br>&gt; которые ходят в интернет, чтобы до них доходили ответы?<br>&gt; Или можно как то правильнее сделать?<br><br>рефлексивный ацл не подойдет?<br> https://m.opennet.me/openforum/vsluhforumID6/414.html#4 Tue, 25 Dec 2012 11:10:25 GMT &gt; В таком случае, если лицензии не будет, то мне нужно будет явно <br>&gt; разрешить в acl ходить из интернета всем к адресам тех пользователей <br>&gt; которые ходят в интернет, чтобы до них доходили ответы?<br>&gt; Или можно как то правильнее сделать?<br><br>permit tcp xx xx established<br> https://m.opennet.me/openforum/vsluhforumID6/414.html#3 Tue, 25 Dec 2012 11:04:21 GMT В таком случае, если лицензии не будет, то мне нужно будет явно разрешить в acl ходить из интернета всем к адресам тех пользователей которые ходят в интернет, чтобы до них доходили ответы?<br>Или можно как то правильнее сделать?<br><br>