CiscoForums.it

Cisco Users Group
https://www.ciscoforums.it/

Dubbio su ip inspect...

https://www.ciscoforums.it/viewtopic.php?f=10&t=9388

Pagina 1 di 1

Dubbio su ip inspect...

Inviato: ven 29 ago , 2008 11:39 am
da masterx81
Ciao a tutti...
Ho un dubbio sull ip inspect:
Ho applicato la mia serie di regole direzione out sull'interfaccia esterna del router, dal pc va tutto bene, ma il router sembra non utilizzare le regole che crea l'ip inspect. Ad esempio, non fa neanche un semplice ping se non modifico l'access list. Non pinga neanche usando come source del ping l'interfaccia interna.
E' possibile che le regole ip inspect (anche se applicate in out sull'interfaccia esterna) non valgono per il traffico proveniente dallo stesso router?
Grazie!

Inviato: ven 29 ago , 2008 2:25 pm
da Wizard
Facci vedere che regole hai in uscita.
E cmq, no, ip inspect e anche le acl direi, vengono passati quando il traffico parte da dietro al router

Inviato: ven 29 ago , 2008 2:42 pm
da masterx81
Mah, le acl a me hanno sempre funzionato anche se i pacchetti provenivano dal router... Poi ho sempre e solo configurato apparati relativamente 'semplici' (827-4v, 835, 857, 877, 1801), con poche interfacce, magari è una cosa che su apparati piu' grandi non avviene...

Cmq se ad esempio nelle acl metto il classico

Codice: Seleziona tutto

access-list 100 permit icmp any any echo-reply
Al router partivano ed arrivavano normalmente i ping... Questo su router con solo la default route. Con l'ip inspect per gli icmp questo non avviene... Anzi, avviene solo alle postazioni dietro al router..
Stavo pulendo le acl quando me ne sono accorto :-) (Le stavo pulendo perchè dal mio pc non riesco a fare piu' l'ftp passivo, ma è colpa del pc, in quanto da un altro pc dietro lo stesso router ci sono riuscito...)
Mi piacerebbe lasciare ad esempio la possibilita' di fare (almeno) telnet ed i classici ping dal router per 'diagnostica'...

Queste sono le regole ip inspect che ho ora...

Codice: Seleziona tutto

ip inspect max-incomplete low 250
ip inspect max-incomplete high 300
ip inspect one-minute low 300
ip inspect one-minute high 400
ip inspect hashtable-size 2048
ip inspect tcp synwait-time 20
ip inspect tcp max-incomplete host 300 block-time 60
ip inspect name inspection-out appfw inspection-out
ip inspect name inspection-out tcp
ip inspect name inspection-out udp
ip inspect name inspection-out ftp
ip inspect name inspection-out https
ip inspect name inspection-out dns
ip inspect name inspection-out ntp
ip inspect name inspection-out icmp

appfw policy-name inspection-out
  application http

int Dialer0
 ip inspect inspection-out out
Grazie per l'aiuto!
Tutti gli orari sono UTC+01:00
Pagina 1 di 1

Creato da phpBB® Forum Software © phpBB Limited

Traduzione Italiana phpBB-Store.it