Ciao a tutti...
Ho un dubbio sull ip inspect:
Ho applicato la mia serie di regole direzione out sull'interfaccia esterna del router, dal pc va tutto bene, ma il router sembra non utilizzare le regole che crea l'ip inspect. Ad esempio, non fa neanche un semplice ping se non modifico l'access list. Non pinga neanche usando come source del ping l'interfaccia interna.
E' possibile che le regole ip inspect (anche se applicate in out sull'interfaccia esterna) non valgono per il traffico proveniente dallo stesso router?
Grazie!
Dubbio su ip inspect...
Moderatore: Federico.Lagni
- Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Facci vedere che regole hai in uscita.
E cmq, no, ip inspect e anche le acl direi, vengono passati quando il traffico parte da dietro al router
E cmq, no, ip inspect e anche le acl direi, vengono passati quando il traffico parte da dietro al router
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
- Cisco enlightened user
- Messaggi: 154
- Iscritto il: mer 20 giu , 2007 11:20 am
Mah, le acl a me hanno sempre funzionato anche se i pacchetti provenivano dal router... Poi ho sempre e solo configurato apparati relativamente 'semplici' (827-4v, 835, 857, 877, 1801), con poche interfacce, magari è una cosa che su apparati piu' grandi non avviene...
Cmq se ad esempio nelle acl metto il classico
Al router partivano ed arrivavano normalmente i ping... Questo su router con solo la default route. Con l'ip inspect per gli icmp questo non avviene... Anzi, avviene solo alle postazioni dietro al router..
Stavo pulendo le acl quando me ne sono accorto
(Le stavo pulendo perchè dal mio pc non riesco a fare piu' l'ftp passivo, ma è colpa del pc, in quanto da un altro pc dietro lo stesso router ci sono riuscito...)
Mi piacerebbe lasciare ad esempio la possibilita' di fare (almeno) telnet ed i classici ping dal router per 'diagnostica'...
Queste sono le regole ip inspect che ho ora...
Grazie per l'aiuto!
Cmq se ad esempio nelle acl metto il classico
Codice: Seleziona tutto
access-list 100 permit icmp any any echo-reply
Stavo pulendo le acl quando me ne sono accorto

Mi piacerebbe lasciare ad esempio la possibilita' di fare (almeno) telnet ed i classici ping dal router per 'diagnostica'...
Queste sono le regole ip inspect che ho ora...
Codice: Seleziona tutto
ip inspect max-incomplete low 250
ip inspect max-incomplete high 300
ip inspect one-minute low 300
ip inspect one-minute high 400
ip inspect hashtable-size 2048
ip inspect tcp synwait-time 20
ip inspect tcp max-incomplete host 300 block-time 60
ip inspect name inspection-out appfw inspection-out
ip inspect name inspection-out tcp
ip inspect name inspection-out udp
ip inspect name inspection-out ftp
ip inspect name inspection-out https
ip inspect name inspection-out dns
ip inspect name inspection-out ntp
ip inspect name inspection-out icmp
appfw policy-name inspection-out
application http
int Dialer0
ip inspect inspection-out out