CiscoForums.it

Cisco Users Group
https://www.ciscoforums.it/

Dubbi IP inspect...

https://www.ciscoforums.it/viewtopic.php?f=10&t=9850

Pagina 1 di 1

Dubbi IP inspect...

Inviato: sab 22 nov , 2008 8:21 pm
da masterx81
Ciao a tutti...
Ho un paio di domande sull'ip inspect...
Innanzi tutto, che differenza c'e' tra l'ip inspect del tcp e l'ip inspect di tutte le varie applicazioni? Perchè non permette di selezionare tutti i protocolli contemporaneamente?

Poi ho provato a mettere l'ip inspec direzione in sull'interfaccia esterna del mio router, per filtrare le connessioni ssh in ingresso, ovviamente ho lasciato in access list la porta 22 se no l'ip inspect non vedeva neanche i pacchetti. Il problema viene ora: Nonostante aver creato la regola ed averla applicata in 'IN' all'interfaccia esterna, facendo un debug dell'ip inspect non si attiva mai per l'ssh in ingresso!
Come mai?

Codice: Seleziona tutto

ip inspect name inspection-in edonkey
ip inspect name inspection-in bittorrent
ip inspect name inspection-in ssh

............

interface Dialer0
....
ip inspect inspection-in in
...
Ed in teoria doveva pinzarmi il traffico, invece nulla...
Va a meraviglia invece l'ip inspect in uscita (e la mia acl ringrazia).

PS. Troppo bello l'appfw HTTP!!!!

Grazie mille!!!!

Inviato: lun 24 nov , 2008 1:03 pm
da Wizard
Sinceramente nn ho ben capito cosa vorresti...
Vorresti che ip inspect su ssh in ingresso ti bloccasse gli accessi in ssh al tuo router?!

Non è così...

Inviato: lun 24 nov , 2008 3:25 pm
da masterx81
:-)
Si, forse sono stato un po' confusionale :-)

Praticamente, il ruolo dell'ip inspect è di rilevare una connessione sull'intefaccia (per esempio in uscita), tenere traccia dei numeri di sequenza ed altre cosettine tipiche degli attacchi, aprire temporaneamente la porta nel firewall con una acl, e verifica che il messaggio di ritorno sia conforme...
Praticamente volevo fare la stessa cosa per le connesisoni che iniziano dall'esterno... Non aprira' siramente una acl, ma controllera' i numeri di sequenza (forse anche questo non ha molto senso pero'...) Ed altri controlli specifici epr il protocollo che non ho ben compreso...
Sara' utile?

Poi invece la prima domanda era, che differenza c'e' tra un ip inspect tcp che controlla tutti i pacchetti in uscita ed un (per esempio) ip inspect ssh?
Se l'ip inspect ssh fa controlli in piu', a me piacerebbe poter controllare tutti i protocolli contemporaneamente (ed in maniera approfondita, come potrebbe fare lo specifico 'ssh'), devo fare l'ip inspect di tutti i protocolli a mano?

Poi ieri ho pasticciato un po' col voip, ed ho notato che l'ip inspect sip mi blocca le comunicazioni col server voip, mentre il solo inspect tcp fa funzionare tutto benissimo (quindi dall'ip inspect tcp all'ip inspect sip qualche differenza c'e' di sicuro...)

Spero di essere stato almeno un po' chiaro...

Grazie mille!!!!
Tutti gli orari sono UTC+01:00
Pagina 1 di 1

Creato da phpBB® Forum Software © phpBB Limited

Traduzione Italiana phpBB-Store.it