The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"как правильно повесить ip inspect"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [Проследить за развитием треда]

"как правильно повесить ip inspect"  
Сообщение от Mishunja email(??) on 19-Окт-07, 13:06 
Hello, All!

Есть 3725. На интерфейсе, подключенном к интернет висит ACL, который блокирует весь трафик на циску, кроме icmp.

На интерфейсе в сторону локалки висит ip inspect FW_inside in.
Трафик из локалки через nat спокойно бегает в интернет и обратно.

НО! циска не резолвит имена, так как правило ip inspect на нее не распространяется.
Подскажите, как правильно повесить ip inspect, чтобы CBAC отслеживал собственный трафик циски и открывал ACL для ответного трафика?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "как правильно повесить ip inspect"  
Сообщение от Изгой (??) on 19-Окт-07, 14:56 
>[оверквотинг удален]
>Есть 3725. На интерфейсе, подключенном к интернет висит ACL, который блокирует весь
>трафик на циску, кроме icmp.
>
>На интерфейсе в сторону локалки висит ip inspect FW_inside in.
>Трафик из локалки через nat спокойно бегает в интернет и обратно.
>
>НО! циска не резолвит имена, так как правило ip inspect на нее
>не распространяется.
>Подскажите, как правильно повесить ip inspect, чтобы CBAC отслеживал собственный трафик циски
>и открывал ACL для ответного трафика?

В общем так в принципе  , я не видел вашь конфиг .. в принципе без разницы куда прикручивать инспект к внешнему или внутреннему интерфейсу  .. у вас он in к внутреннему похоже так ?? Значит тот трафик который вы разрешаете на этот интерфейс in  будет разрешаться обратный поток на внешнем интерфейсе .... вот так вот ..

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "проблема решена"  
Сообщение от mishunja on 25-Окт-07, 01:44 
проблема решается добавлением ключа router-traffic при описании правила ip inspect

ip inspect name Local_Traf udp router-traffic
interface GigabitEthernet0/1.1
ip inspect Local_Traf out

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру