CiscoForums.it

Cisco Users Group
https://www.ciscoforums.it/

bug ip inspect e tcp

https://www.ciscoforums.it/viewtopic.php?f=10&t=4579

Pagina 1 di 1

bug ip inspect e tcp

Inviato: ven 20 apr , 2007 3:13 pm
da ogm.k4b
Ciao a tutti ho da poco configurato un 877 con ultima versione ios e ho notato che l'inspect non mi fa passare le connessioni tcp ho dovuto specificarle una ad una ma quando mi capiterà di dover far passare una porta che non è specificabile sarò nei guai vi mando la config originale e la modificata.
Me ne sono accorto perche il desktop remoto di winzoz non andava.


ip inspect name conn-uscenti ftp
ip inspect name conn-uscenti http java-list 11 audit-trail off
ip inspect name conn-uscenti udp
ip inspect name conn-uscenti tcp
ip inspect name conn-uscenti tftp
ip inspect name conn-uscenti h323
ip inspect name conn-uscenti esmtp
ip inspect name conn-uscenti dns
ip inspect name conn-uscenti icmp


ora c'è questa

ip inspect name conn-uscenti ftp
ip inspect name conn-uscenti http java-list 11 audit-trail off
ip inspect name conn-uscenti udp
ip inspect name conn-uscenti tftp
ip inspect name conn-uscenti h323
ip inspect name conn-uscenti esmtp
ip inspect name conn-uscenti dns
ip inspect name conn-uscenti icmp
ip inspect name conn-uscenti https
ip inspect name conn-uscenti pop3
ip inspect name conn-entranti tcp
ip inspect name conn-entranti udp



così va.

A qualcuno è capitato?

Inviato: ven 27 apr , 2007 11:46 am
da Wizard
Ciao Ste (sono Cristian), anche a me è capitato un tot di volte che l'inspection sul tcp mi bloccasse cose che non doveva bloccare...intanto ti consiglio di dare il comando "ip inspect log drop-pkt" così da uno "sh log" vedi quando l'ip inspect blocca dei pacchetti.
Per risolvere (in un modo non troppo bello) cmq io metto una acl in entrata dove permetto le connessioni tcp established...appena esce una nuova ios aggiorna, a volte il problema lo hanno risolto.

Inviato: mer 02 mag , 2007 3:30 pm
da ogm.k4b
Eccomi fantastico sei alla scrivania dietro la mia e ci scriviamo qui...farò così fino alla soluzione del fattaccio anche perche ora è successo anche da un altro cliente. Anche se la tua soluzione elimina completamente il firewall quindi a questo punto tanto vale levare l'inspect

Inviato: mer 02 mag , 2007 3:38 pm
da Wizard
Sta succedendo spesso ultimanente...
Per ora mettiamo l' inspection sui protocolli specifici (http, https, ftp...)!

Inviato: ven 04 mag , 2007 2:39 pm
da ogm.k4b
Ho risolto aggiornando l'ultima ios 124-11.T1 che hanno ritirato per la presenza di buchi con la 124-11.T2 ora dovrebbe andare.

Saluti
Tutti gli orari sono UTC+01:00
Pagina 1 di 1

Creato da phpBB® Forum Software © phpBB Limited

Traduzione Italiana phpBB-Store.it