Ciao a tutti ho da poco configurato un 877 con ultima versione ios e ho notato che l'inspect non mi fa passare le connessioni tcp ho dovuto specificarle una ad una ma quando mi capiterà di dover far passare una porta che non è specificabile sarò nei guai vi mando la config originale e la modificata.
Me ne sono accorto perche il desktop remoto di winzoz non andava.
ip inspect name conn-uscenti ftp
ip inspect name conn-uscenti http java-list 11 audit-trail off
ip inspect name conn-uscenti udp
ip inspect name conn-uscenti tcp
ip inspect name conn-uscenti tftp
ip inspect name conn-uscenti h323
ip inspect name conn-uscenti esmtp
ip inspect name conn-uscenti dns
ip inspect name conn-uscenti icmp
ora c'è questa
ip inspect name conn-uscenti ftp
ip inspect name conn-uscenti http java-list 11 audit-trail off
ip inspect name conn-uscenti udp
ip inspect name conn-uscenti tftp
ip inspect name conn-uscenti h323
ip inspect name conn-uscenti esmtp
ip inspect name conn-uscenti dns
ip inspect name conn-uscenti icmp
ip inspect name conn-uscenti https
ip inspect name conn-uscenti pop3
ip inspect name conn-entranti tcp
ip inspect name conn-entranti udp
così va.
A qualcuno è capitato?
bug ip inspect e tcp
Moderatore: Federico.Lagni
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Ciao Ste (sono Cristian), anche a me è capitato un tot di volte che l'inspection sul tcp mi bloccasse cose che non doveva bloccare...intanto ti consiglio di dare il comando "ip inspect log drop-pkt" così da uno "sh log" vedi quando l'ip inspect blocca dei pacchetti.
Per risolvere (in un modo non troppo bello) cmq io metto una acl in entrata dove permetto le connessioni tcp established...appena esce una nuova ios aggiorna, a volte il problema lo hanno risolto.
Per risolvere (in un modo non troppo bello) cmq io metto una acl in entrata dove permetto le connessioni tcp established...appena esce una nuova ios aggiorna, a volte il problema lo hanno risolto.
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
ogm.k4b
- Cisco fan
- Messaggi: 32
- Iscritto il: lun 23 mag , 2005 9:24 am
Eccomi fantastico sei alla scrivania dietro la mia e ci scriviamo qui...farò così fino alla soluzione del fattaccio anche perche ora è successo anche da un altro cliente. Anche se la tua soluzione elimina completamente il firewall quindi a questo punto tanto vale levare l'inspect
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Sta succedendo spesso ultimanente...
Per ora mettiamo l' inspection sui protocolli specifici (http, https, ftp...)!
Per ora mettiamo l' inspection sui protocolli specifici (http, https, ftp...)!
Ultima modifica di Wizard il ven 04 mag , 2007 2:40 pm, modificato 1 volta in totale.
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
