Pagina 1 di 1
ip inspect Firewall out
Inviato: ven 12 dic , 2008 11:26 am
da alfnetx
Mi spiegate cortesemente l'effetto che producono le voci "in"/"out"?
In pratica, se volessi applicare le ispezioni definite con "ip inspect name firewall xxx" sulla dialer, dovrei mettere il parametro in o out?
Dalle utilissime configurazioni di Wizard deduco che si usi "out"...ma perche'???
Io vorrei ispezionare il traffico in ingresso.
Forse il parametro va interpretato come "from out"??
Inviato: lun 15 dic , 2008 3:43 pm
da Wizard
In pratica, se volessi applicare le ispezioni definite con "ip inspect name firewall xxx" sulla dialer, dovrei mettere il parametro in o out?
Sulla dialer (o cmq la interfaccia verso internet) è in OUT
Sulla vlanx o sulla eth devi mettere in IN
In sostanza IN o OUT dipende da dove parte e dove va il traffico...
Inviato: mer 17 dic , 2008 3:25 pm
da masterx81
Ciao!
allora, io sul mio 877 ho smanettato un po, e da quello che ho potuto vedere per controllare i pacchetti in USCITA (ed aprire la relativa porta in ingresso) puoi applicare l'ip inspect in direzione IN sulla ethernet (Tipo: Controllami tutto il traffico che mi entra sull'interfaccia di rete verso qualunque destinazione. Il router poi si preoccupa di fare tutto il resto), oppurin OUT sull'interfaccia di internet (Tipo: controllami tutto il traffico che esce da questa interfaccia e preoccupati di crearmi le eccezioni nelle acl da solo). Io ho preferito metterlo in out sulla interfaccia esterna, sopratutto perchè all'inizio speravo che facendo così sfruttasse l'ip inspct anche per i pacchetti originati dal router (ntp, dns, etc), ma purtroppo per quelli devi lasciare le acl, in quanto non vengono analizzati. Se hai ad esempio 2 interfaccie di ingresso devi pero' dare su entrambe l'ip inspect IN, se no su quella in cui non è configurato l'ip inspect ovviamente non funziona.
Per analizzare il traffico in ingresso (per proteggere i servizi interni) è un po' piu' strano e non ho capito neanche io come farlo girare:
Ho pravato a mettere l'ip inspect in direzione IN sulla interfaccia esterna ma non mi analizza il traffico....
Di questo non saprei neanche io come aiutarti...
Magari qualcuno aiuta pure me a capire come mai non va...
Inviato: lun 22 dic , 2008 12:50 pm
da Wizard
Per analizzare il traffico entante è molto meglio IPS