Dubbi IP inspect...

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
masterx81
Cisco enlightened user
Messaggi: 154
Iscritto il: mer 20 giu , 2007 11:20 am

Ciao a tutti...
Ho un paio di domande sull'ip inspect...
Innanzi tutto, che differenza c'e' tra l'ip inspect del tcp e l'ip inspect di tutte le varie applicazioni? Perchè non permette di selezionare tutti i protocolli contemporaneamente?

Poi ho provato a mettere l'ip inspec direzione in sull'interfaccia esterna del mio router, per filtrare le connessioni ssh in ingresso, ovviamente ho lasciato in access list la porta 22 se no l'ip inspect non vedeva neanche i pacchetti. Il problema viene ora: Nonostante aver creato la regola ed averla applicata in 'IN' all'interfaccia esterna, facendo un debug dell'ip inspect non si attiva mai per l'ssh in ingresso!
Come mai?

Codice: Seleziona tutto

ip inspect name inspection-in edonkey
ip inspect name inspection-in bittorrent
ip inspect name inspection-in ssh

............

interface Dialer0
....
ip inspect inspection-in in
...
Ed in teoria doveva pinzarmi il traffico, invece nulla...
Va a meraviglia invece l'ip inspect in uscita (e la mia acl ringrazia).

PS. Troppo bello l'appfw HTTP!!!!

Grazie mille!!!!
Top
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:
Contatta Wizard

Sinceramente nn ho ben capito cosa vorresti...
Vorresti che ip inspect su ssh in ingresso ti bloccasse gli accessi in ssh al tuo router?!

Non è così...
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Top
masterx81
Cisco enlightened user
Messaggi: 154
Iscritto il: mer 20 giu , 2007 11:20 am

:-)
Si, forse sono stato un po' confusionale :-)

Praticamente, il ruolo dell'ip inspect è di rilevare una connessione sull'intefaccia (per esempio in uscita), tenere traccia dei numeri di sequenza ed altre cosettine tipiche degli attacchi, aprire temporaneamente la porta nel firewall con una acl, e verifica che il messaggio di ritorno sia conforme...
Praticamente volevo fare la stessa cosa per le connesisoni che iniziano dall'esterno... Non aprira' siramente una acl, ma controllera' i numeri di sequenza (forse anche questo non ha molto senso pero'...) Ed altri controlli specifici epr il protocollo che non ho ben compreso...
Sara' utile?

Poi invece la prima domanda era, che differenza c'e' tra un ip inspect tcp che controlla tutti i pacchetti in uscita ed un (per esempio) ip inspect ssh?
Se l'ip inspect ssh fa controlli in piu', a me piacerebbe poter controllare tutti i protocolli contemporaneamente (ed in maniera approfondita, come potrebbe fare lo specifico 'ssh'), devo fare l'ip inspect di tutti i protocolli a mano?

Poi ieri ho pasticciato un po' col voip, ed ho notato che l'ip inspect sip mi blocca le comunicazioni col server voip, mentre il solo inspect tcp fa funzionare tutto benissimo (quindi dall'ip inspect tcp all'ip inspect sip qualche differenza c'e' di sicuro...)

Spero di essere stato almeno un po' chiaro...

Grazie mille!!!!
Top
Rispondi

Torna a “Configurazioni”