Pagina 1 di 1
comando ip inspect ????
Inviato: lun 16 mag , 2011 10:29 pm
da richardsith
Ciao a tutti,
avrei bisogno di capire il funzionamento del comando ip inspect e come si deve utilizzare.
ho trovato vari link su internet che spiegano il funzionamento ma non riesco a capire esattamente il suo comportamento.
c'è qualcuno che si offre per darmi un breve spiegazione????
grazie anticipatamente a tutti
Re: comando ip inspect ????
Inviato: mar 17 mag , 2011 6:07 am
da ghira
Molto sinteticamente:
blocchi tutto in entrata. ispezioni tutto in uscita.
se arrivano cose da fuori che sembrano risposte plausibili a pacchetti "ispezionati",
il router fa passare le risposte, nonostante l'access-list "deny any any".
ovviamente se ci sono delle cose che vuoi permettere da fuori comunque (http?
ssh?) allora permetti queste cose esplicitamente.
Re: comando ip inspect ????
Inviato: mar 17 mag , 2011 3:38 pm
da richardsith
grazie per la spiegazione
quindi quando imposto un
ip inspect name TEST tcp
dico al cisco di ispezionare tutti pacchetti tcp in uscita e di bloccarli in entrata???anche se non cè 1 ACL in IN che blocca i pacchetti TCP?
grazie
Re: comando ip inspect ????
Inviato: mar 17 mag , 2011 4:42 pm
da ghira
No, metti un access list che blocca tutto in entrata e
Metti inspect in uscita. Inspect crea buchi temporanei nell'access-list
Re: comando ip inspect ????
Inviato: mar 17 mag , 2011 9:16 pm
da richardsith
grazie mille per la spiegazione sei stato molto chiaro.
Quindi se blocco con 1 ACL in IN, tutto il traffico TCP non veritiero viene rifiutato, ma se la richiesta è fatta in OUT inspect apre un buco temporale per accettare la risposta dall'esterno facendo passare il pacchetto in IN.
corretto???
Re: comando ip inspect ????
Inviato: mar 17 mag , 2011 9:29 pm
da ghira
richardsith ha scritto:grazie mille per la spiegazione sei stato molto chiaro.
Quindi se blocco con 1 ACL in IN, tutto il traffico TCP non veritiero viene rifiutato, ma se la richiesta è fatta in OUT inspect apre un buco temporale per accettare la risposta dall'esterno facendo passare il pacchetto in IN.
corretto???
perche' limitarti al tcp? blocca tutto, ispeziona tutto.
Va bene, questo e' leggermente esagerato. Blocca quasi tutto, pero'. Dovrei
Controllare ma io permetto alcuni tipi di icmp, ssh e http da alcuni
Posti, pochissime altre cose, poi deny any any.
Re: comando ip inspect ????
Inviato: gio 19 mag , 2011 7:43 pm
da richardsith
grazie per la corposa e breve formazione sull inspect adesso mi è più chiaro il suo funzionamento.
ricontraccambierò il tuo favore al + presto.
a presto
Re: comando ip inspect ????
Inviato: gio 19 mag , 2011 8:55 pm
da ghira
Comunque, per la cronaca la Cisco dice adesso che "ip inspect" e' roba 'legacy', e che dovremmo
passare a "zone-based firewall".
Se hai solo due interfacce il vantaggio non mi e' chiaro, devo dire. Comunque, mi sa
che i miglioramenti da adesso in poi appariranno solo in ZBFW. Se lo vuoi provare,
forse ti conviene passare alla 15.0 o 15.1.
Re: comando ip inspect ????
Inviato: sab 21 mag , 2011 1:53 pm
da richardsith
è da dargli un'occhiata, anche se ancora non trovo 5 min per mettere mano ad 1 ASA.
Cmq in qsti gg appena ho 5 min vedo il funzionamento di zone-based firewall e vedo di tiranci fuori qlke cfg.
Ti faccio sapere cosa riesco a tirarci fuori!!!
Re: comando ip inspect ????
Inviato: ven 10 giu , 2011 11:19 am
da ghira
richardsith ha scritto:è da dargli un'occhiata, anche se ancora non trovo 5 min per mettere mano ad 1 ASA.
Cmq in qsti gg appena ho 5 min vedo il funzionamento di zone-based firewall e vedo di tiranci fuori qlke cfg.
Ti faccio sapere cosa riesco a tirarci fuori!!!
ZBFW e' una cosa sui router.