Guida per class-map inspection

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Rispondi
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Se dovete settare la inspection (i vecchi fixup) su una porta non standard si fa così:

Es:

Codice: Seleziona tutto

(config)# class-map skinny-port
(config-cmap)# match port tcp eq 2000
(config-cmap)# exit
(config)# policy-map skinny_policy 
(config-pmap)# class skinny-port
(config-pmap-c)# inspect skinny
(config-pmap-c)# exit
(config)# service-policy skinny_policy interface outside
Config testata su FWSM (Firewall blade) versione IOS 3.2.3 però si fa allo stesso modo su PIX\ASA dalla 7 in poi
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Ecco un esempio di esclusione di un traffico preciso dalla inspection di un protocollo:

Codice: Seleziona tutto

access-list NO-INSPECTION extended deny tcp host 10.10.10.10 host 10.20.20 20 eq sqlnet 
access-list NO-INSPECTION extended deny tcp host 10.20.20.20 eq sqlnet host 10.10.10.10

class-map no-inspection
 match access-list NO-INSPECTION

policy-map no-inspection
 class no-inspection
  inspect sqlnet

service-policy no-inspection interface inside
service-policy no-inspection interface outside
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
MatteoR
n00b
Messaggi: 1
Iscritto il: dom 17 dic , 2017 5:48 pm

Questo è molto utile. Grazie mille.
Rispondi