- IP inspect на 2951, Valery12, 12:25 , 25-Дек-12 (1) +1
> Подскажите, как в роутерах с иосом старше 15 настраивается инспектирование протоколов (имеется > ввиду когда роутер сохраняет сессию инициированную изнутри, и пропускает ответный трафик). > Помниться в старых иосах была комманда ip inspect, а в 15 нет. > У меня ios 15.1(4)M4 с UC лицензией, похоже что нужно иметь > security.. хотелось бы знать как назывется технология чтобы поискать во feature > navigator.в новых ip inspect тоже никуда не делся просто нужен IOS с firewall feature set, а он действительно в security, технология называется CBAC (Context-Based Access Control)
- IP inspect на 2951, Ivan Pomidorov, 14:48 , 25-Дек-12 (2)
- IP inspect на 2951, Ivan Pomidorov, 15:04 , 25-Дек-12 (3)
В таком случае, если лицензии не будет, то мне нужно будет явно разрешить в acl ходить из интернета всем к адресам тех пользователей которые ходят в интернет, чтобы до них доходили ответы? Или можно как то правильнее сделать?
- IP inspect на 2951, elk_killa, 15:10 , 25-Дек-12 (4)
> В таком случае, если лицензии не будет, то мне нужно будет явно > разрешить в acl ходить из интернета всем к адресам тех пользователей > которые ходят в интернет, чтобы до них доходили ответы? > Или можно как то правильнее сделать?permit tcp xx xx established
- IP inspect на 2951, VolanD, 19:20 , 25-Дек-12 (6)
>> В таком случае, если лицензии не будет, то мне нужно будет явно >> разрешить в acl ходить из интернета всем к адресам тех пользователей >> которые ходят в интернет, чтобы до них доходили ответы? >> Или можно как то правильнее сделать? > permit tcp xx xx established я так понял автор закрыться хочет. а тут пакет с син флагом обойдет это правило ИМХО.
- IP inspect на 2951, elk_killa, 23:21 , 25-Дек-12 (7)
>> permit tcp xx xx established > я так понял автор закрыться хочет. а тут пакет с син флагом > обойдет это правило ИМХО.разве для этого сначала не должен пройти син _изнутри_наружу_? А без этого безусловно разрешить ответный траффик полностью по протоколам еще более несукурно ну или костылить рефлексив, ага
- IP inspect на 2951, VolanD, 11:32 , 26-Дек-12 (9)
>>> permit tcp xx xx established >> я так понял автор закрыться хочет. а тут пакет с син флагом >> обойдет это правило ИМХО. > разве для этого сначала не должен пройти син _изнутри_наружу_? А без этого > безусловно разрешить ответный траффик полностью по протоколам еще более несукурно > ну или костылить рефлексив, ага Могу ошибаться, но вроде как начальный syn не отслеживается. Отслеживается ack во входящем пакете. Но не факт, могу ошибаться.
- IP inspect на 2951, elk_killa, 17:14 , 26-Дек-12 (10)
>>>> permit tcp xx xx established >>> я так понял автор закрыться хочет. а тут пакет с син флагом >>> обойдет это правило ИМХО. >> разве для этого сначала не должен пройти син _изнутри_наружу_? А без этого >> безусловно разрешить ответный траффик полностью по протоколам еще более несукурно >> ну или костылить рефлексив, ага > Могу ошибаться, но вроде как начальный syn не отслеживается. Отслеживается ack во > входящем пакете. Но не факт, могу ошибаться.ну на мой взгляд, было бы глупо пропускать любой пакет с syn ack без syn изнутри :) точного подтверждения тоже не нагуглил, так что на правах имхо
- IP inspect на 2951, elk_killa, 17:25 , 26-Дек-12 (11)
>>>> permit tcp xx xx established >>> я так понял автор закрыться хочет. а тут пакет с син флагом >>> обойдет это правило ИМХО. >> разве для этого сначала не должен пройти син _изнутри_наружу_? А без этого >> безусловно разрешить ответный траффик полностью по протоколам еще более несукурно >> ну или костылить рефлексив, ага > Могу ошибаться, но вроде как начальный syn не отслеживается. Отслеживается ack во > входящем пакете. Но не факт, могу ошибаться.погуглил, похоже, правда ваша
- IP inspect на 2951, VolanD, 19:19 , 25-Дек-12 (5) +1
> В таком случае, если лицензии не будет, то мне нужно будет явно > разрешить в acl ходить из интернета всем к адресам тех пользователей > которые ходят в интернет, чтобы до них доходили ответы? > Или можно как то правильнее сделать?рефлексивный ацл не подойдет?
- IP inspect на 2951, Ivan Pomidorov, 09:03 , 26-Дек-12 (8)
> рефлексивный ацл не подойдет?Почитал про establish. Насколько я понял это слово как раз и предназначено чтобы не пускать пакеты с флагом syn снаружи, правда только для tcp траффика. Мне этого достаточно. Ну а если придеться заморачиваться icmp, то похоже что нужен как раз reflect acl. Спасибо. Буду пробывать.
|