configurazione ip inspect

[MircoT]

oggi ho fatto alcune modifiche alla configurazione dell'ip inspect del mio 877.
usavo una configurazione minimale in quanto avevo dei problemi e avevo provato ad eliminare alcune variabili...

la configurazione precedente era:

Codice: Seleziona tutto

ip inspect log drop-pkt
ip inspect name SDM_LOW udp
ip inspect name SDM_LOW tcp

applicata all'interfaccia Dialer0

oggi ho rimesso quella che avevo tempo fa:

Codice: Seleziona tutto

ip inspect log drop-pkt
ip inspect name SDM_LOW ftp
ip inspect name SDM_LOW icmp
ip inspect name SDM_LOW rcmd
ip inspect name SDM_LOW rtsp
ip inspect name SDM_LOW esmtp
ip inspect name SDM_LOW tftp
ip inspect name SDM_LOW tcp
ip inspect name SDM_LOW udp
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3

le ultime 2 righe me le sono ritrovate senza che le abbia inserite... cioè le ha messe lo ios...
per altro non me le lascia togliere... nel senso che gli posso solo dire di non usarle mettendoci un "no" davanti ad entrambe le righe...
ma questo forse è il minimo, in quanto mi pare che siano un ulteriore controllino che "forse" male non fa...

però ho visto che ha aggiunto anche un'altra riga:

Codice: Seleziona tutto

ip forward-protocol nd

a che serve?
dall'help sembra autorizzi il forward dei protocolli per i dischi Sun (??)
tentando di toglierla con un "no ip forward-protocol nd" non la toglie, ma ci mette soilamente il no davanti...


precisazione: ho messo lo ios nuovo da pochi giorni, ma il cambio di versione è minimale (da 12.4.15.T1 a 12.4.15.T3)... è questa la causa?
oppure ios approfitta di eventuali riscritture di pezzi di configurazione per mettere esplicitamente "cose nuove di default" che vanno eventualmente disabilitate esplicitamente a mano?


Ciauzzz!

[Wizard]

Ti do un consiglilo, le modifiche la prossima volta, falle da CLI.
Per le righe di conf che nn vuoi prova a tenerle con il no davanti

[MircoT]

Ti do un consiglilo, le modifiche la prossima volta, falle da CLI.
Per le righe di conf che nn vuoi prova a tenerle con il no davanti

grazie della risposta
le modifiche le ho fatte dalla CLI.
l'SDM l'ho usato solo per la prima configurazione... ecco perchè mi "trascino dietro" i nomi che l'SDM affibbia alle interfacce e all'ip inspect.

per cambiare l'ip incpect dalla cli ho dato questi comandi:

Codice: Seleziona tutto

no ip inspect log drop-pkt
no ip inspect name SDM_LOW tcp
no ip inspect name SDM_LOW udp 

e poi ho inserito quelli nuovi:

Codice: Seleziona tutto

ip inspect log drop-pkt
ip inspect name SDM_LOW ftp
ip inspect name SDM_LOW icmp
ip inspect name SDM_LOW rcmd
ip inspect name SDM_LOW rtsp
ip inspect name SDM_LOW esmtp
ip inspect name SDM_LOW tftp
ip inspect name SDM_LOW tcp
ip inspect name SDM_LOW udp

a quel punto nello sh run sono uscite le righe in più...

per altro cancellando completamente la configurazione ip inspect, il relativo riferimento era stato tolto anche dall'interfaccia dove era applicato, cioè la dialer0... me ne sono accorto subito perchè la navigazione si è bloccata... ma ho risolto in 2 secondi riapplicando il comando "ip inspect SDM_LOW out" alla dialer0.

quello che volevo capire era se è "normale" che uno ios nuovo aggiunga delle righe alla configurazione mostrata nello sh run... magari sono default che c'erano già nel vecchio ios, ma non venivano mostrati...
ad esempio ho visto un po' di modifiche allo sh run e allo sh conf quando sono passato dalla 12.4.4 alla 12.4.15... sulla dot11radio0 e la gestione degli ssid...


Ciauzzz!

[MircoT]

Aggiornamento.
Ieri sera, nel dubbio, non ho salvato la configurazione. Così oggi, dopo la fresca partenza del router, ho verificato che nello sh run quelle righe ci sono già, ma non ci sono nello sh conf... in effetti la configurazione non l'ho modificata dopo l'aggiornamento a 12.4.15.T3.
Ora ho aggiunto le "righe mancanti" all'ip inspect e ho salvato la configurazione: ora le "3 righe aggiunte dallo ios" ci sono anche sullo sh conf.
Presumo quindi che sia una impostazione "di default" del nuovo ios, che le inseriva ad ogni ripartenza del router. Per ora le tengo attive. Se noterò dei problemi le disattivo.

Domanda: è importante l'ordine con cui si scrivono le righe di configurazione dell'ip inspect? per le performance del router o altro...

Attualmente è configurato così:

Codice: Seleziona tutto

ip inspect log drop-pkt
ip inspect name SDM_LOW udp
ip inspect name SDM_LOW tcp
ip inspect name SDM_LOW ftp
ip inspect name SDM_LOW icmp
ip inspect name SDM_LOW rcmd
ip inspect name SDM_LOW rtsp
ip inspect name SDM_LOW esmtp
ip inspect name SDM_LOW tftp
ip auth-proxy max-nodata-conns 3
ip admission max-nodata-conns 3

(l'etichetta deriva dalla prima configurazione fatta con l'sdm... ora uso solo la CLI...)

Nelle ACL l'ordine con cui le si scrive è fondamentale (esecuzione top-down).
Vale anche per l'ip inspect? E in questo caso qual'è l'ordine migliore?


Grazie.
Ciauzzzzz!

[Wizard]

Vale anche per l'ip inspect? E in questo caso qual'è l'ordine migliore?

Direi di no!
Quando passa un certo protocollo verifica se è inspezionato e lo inspeziona, quindi, l'ordine non è importante