Dubbio su ip inspect...

Tutto ciò che ha a che fare con la configurazione di apparati Cisco (e non rientra nelle altre categorie)

Moderatore: Federico.Lagni

Rispondi
masterx81
Cisco enlightened user
Messaggi: 154
Iscritto il: mer 20 giu , 2007 11:20 am

Ciao a tutti...
Ho un dubbio sull ip inspect:
Ho applicato la mia serie di regole direzione out sull'interfaccia esterna del router, dal pc va tutto bene, ma il router sembra non utilizzare le regole che crea l'ip inspect. Ad esempio, non fa neanche un semplice ping se non modifico l'access list. Non pinga neanche usando come source del ping l'interfaccia interna.
E' possibile che le regole ip inspect (anche se applicate in out sull'interfaccia esterna) non valgono per il traffico proveniente dallo stesso router?
Grazie!
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Facci vedere che regole hai in uscita.
E cmq, no, ip inspect e anche le acl direi, vengono passati quando il traffico parte da dietro al router
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
masterx81
Cisco enlightened user
Messaggi: 154
Iscritto il: mer 20 giu , 2007 11:20 am

Mah, le acl a me hanno sempre funzionato anche se i pacchetti provenivano dal router... Poi ho sempre e solo configurato apparati relativamente 'semplici' (827-4v, 835, 857, 877, 1801), con poche interfacce, magari è una cosa che su apparati piu' grandi non avviene...

Cmq se ad esempio nelle acl metto il classico

Codice: Seleziona tutto

access-list 100 permit icmp any any echo-reply
Al router partivano ed arrivavano normalmente i ping... Questo su router con solo la default route. Con l'ip inspect per gli icmp questo non avviene... Anzi, avviene solo alle postazioni dietro al router..
Stavo pulendo le acl quando me ne sono accorto :-) (Le stavo pulendo perchè dal mio pc non riesco a fare piu' l'ftp passivo, ma è colpa del pc, in quanto da un altro pc dietro lo stesso router ci sono riuscito...)
Mi piacerebbe lasciare ad esempio la possibilita' di fare (almeno) telnet ed i classici ping dal router per 'diagnostica'...

Queste sono le regole ip inspect che ho ora...

Codice: Seleziona tutto

ip inspect max-incomplete low 250
ip inspect max-incomplete high 300
ip inspect one-minute low 300
ip inspect one-minute high 400
ip inspect hashtable-size 2048
ip inspect tcp synwait-time 20
ip inspect tcp max-incomplete host 300 block-time 60
ip inspect name inspection-out appfw inspection-out
ip inspect name inspection-out tcp
ip inspect name inspection-out udp
ip inspect name inspection-out ftp
ip inspect name inspection-out https
ip inspect name inspection-out dns
ip inspect name inspection-out ntp
ip inspect name inspection-out icmp

appfw policy-name inspection-out
  application http

int Dialer0
 ip inspect inspection-out out
Grazie per l'aiuto!
Rispondi