Ciao a tutti,
avendo dei problemi con un sito particolare che non apre alcuni link e considerando che il sito è tutto in flash e java, per cercare di capire cosa succedeva ho dato uno sguardo ai log ed ho notato che ci sono parecchi drop del protocollo ICMP.
Secondo voi questa cosa potrebbe crearmi dei problemi con il sito suddetto?
Va considerato che il drop non è solo su un unico IP, ma su parecchi.
Cosa ne pensate?
P.S. il router è un 877 con IOS advipservicesK9-mz.150-1.M e zbf attivo
ZBF Droppa ICMP
Moderatore: Federico.Lagni
- ghira
- Holy network Shaman
- Messaggi: 668
- Iscritto il: mer 30 mar , 2011 5:25 pm
Lo ZBFW e' abbastanza nuovo ed e' una cosa menzionata moltissime volte nelle release notes.
Ecco perche' ritengo che sia opportuno usare 15.0(1)M7 invece di 15.0(1)M come prima cosa.
Ci sono stati problemi con la 15.1, e' vero, ma finalmente con la 15.1(4)M2 abbiamo una versione
funzionante.
Ecco perche' ritengo che sia opportuno usare 15.0(1)M7 invece di 15.0(1)M come prima cosa.
Ci sono stati problemi con la 15.1, e' vero, ma finalmente con la 15.1(4)M2 abbiamo una versione
funzionante.
-
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
A parte il change log hai qualche link sotto mano riguardo allo zbf?ghira ha scritto:Lo ZBFW e' abbastanza nuovo ed e' una cosa menzionata moltissime volte nelle release notes.
Ecco perche' ritengo che sia opportuno usare 15.0(1)M7 invece di 15.0(1)M come prima cosa.
Ci sono stati problemi con la 15.1, e' vero, ma finalmente con la 15.1(4)M2 abbiamo una versione
funzionante.
(lo sò sono pigro scherzi a parte è per non perdermi nei quintali di link più o meno inutili sul sito, se hai qualcosa di già "concreto" leggo volentieri qualcosa)
Tnk's
Rizio
Si vis pacem para bellum
-
- Cisco fan
- Messaggi: 49
- Iscritto il: mer 12 set , 2007 7:44 am
Heeeee purtroppo non ho contratti con Cisco.
Se tu dici che l'M7 è meglio non è che potresti inviarmelo?
Ancora attendo notizie sull'ICMP.
E' meglio dropparlo o no.
So che è utile nell'error reporting delle trasmissioni IP, ma non so se i siti internet potrebbero non funzionare se si droppano le trasmissioni ICMP.
Se tu dici che l'M7 è meglio non è che potresti inviarmelo?
Ancora attendo notizie sull'ICMP.
E' meglio dropparlo o no.
So che è utile nell'error reporting delle trasmissioni IP, ma non so se i siti internet potrebbero non funzionare se si droppano le trasmissioni ICMP.
-
- Cisco fan
- Messaggi: 49
- Iscritto il: mer 12 set , 2007 7:44 am
Risolto
Nonostante avessi abilitato l'inspect su http, percui la navigazione sugli altri siti andava senza problemi, ho dovuto creare un'ACL ad hoc per l'indirizzo IP su porta 80 di quel sito specifico.
Bha, sta cosa proprio non la capisco.
Heeeee Cisco Cisco.
Nonostante avessi abilitato l'inspect su http, percui la navigazione sugli altri siti andava senza problemi, ho dovuto creare un'ACL ad hoc per l'indirizzo IP su porta 80 di quel sito specifico.
Bha, sta cosa proprio non la capisco.
Heeeee Cisco Cisco.
-
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Cioè che tipo di acl? Per farlo transitare? Ti chiedo info perchè anche io ogni tanto ho problemi di quel tipio ma non avevo mai verificato le impostazioni ICMP.moorpheus ha scritto:Risolto
Nonostante avessi abilitato l'inspect su http, percui la navigazione sugli altri siti andava senza problemi, ho dovuto creare un'ACL ad hoc per l'indirizzo IP su porta 80 di quel sito specifico.
Bha, sta cosa proprio non la capisco.
Heeeee Cisco Cisco.
Rizio
Si vis pacem para bellum
-
- Cisco fan
- Messaggi: 49
- Iscritto il: mer 12 set , 2007 7:44 am
In realtà ho creato una ACL estesa permettendo al quell'IP il servizio www su TCP.
Non so per quale motivo il sito venisse droppato e se dipendeva dall'ICMP, ma con l'ACL ho risolto.
La cosa bella è che la regola ho dovuto applicarla da IN verso OUT e non viceversa.
Infatti dai log vedevo che veniva droppata la richiesta verso quel sito e non la trasmissione dei dati dal sito web verso il PC richiedente.
Questo è quanto: access-list 120 permit tcp host 165.193.250.113 eq www any
Nell'applicarla allo zbf fai attenzione che la regola venga prima di quella generale HTTP:
Crei la classe:
class-map type inspect match-any Doosan_permit
match access-group 120
class-map type inspect match-all sdm-protocol-http
match protocol http
-----------------------------
Applichi la regola:
policy-map type inspect sdm-inspect
class type inspect sdm-invalid-src
drop log
class type inspect Doosan_permit
pass
class type inspect sdm-protocol-http
inspect
ti assicuri che sia applicata alle zone:
zone-pair security sdm-zp-in-out source in-zone destination out-zone
service-policy type inspect sdm-inspect
Puoi usare quell'ACL per tutti i siti dove riscontri problemi simili.
Non so per quale motivo il sito venisse droppato e se dipendeva dall'ICMP, ma con l'ACL ho risolto.
La cosa bella è che la regola ho dovuto applicarla da IN verso OUT e non viceversa.
Infatti dai log vedevo che veniva droppata la richiesta verso quel sito e non la trasmissione dei dati dal sito web verso il PC richiedente.
Questo è quanto: access-list 120 permit tcp host 165.193.250.113 eq www any
Nell'applicarla allo zbf fai attenzione che la regola venga prima di quella generale HTTP:
Crei la classe:
class-map type inspect match-any Doosan_permit
match access-group 120
class-map type inspect match-all sdm-protocol-http
match protocol http
-----------------------------
Applichi la regola:
policy-map type inspect sdm-inspect
class type inspect sdm-invalid-src
drop log
class type inspect Doosan_permit
pass
class type inspect sdm-protocol-http
inspect
ti assicuri che sia applicata alle zone:
zone-pair security sdm-zp-in-out source in-zone destination out-zone
service-policy type inspect sdm-inspect
Puoi usare quell'ACL per tutti i siti dove riscontri problemi simili.
-
- Messianic Network master
- Messaggi: 1158
- Iscritto il: ven 12 ott , 2007 2:48 pm
- Contatta:
Ok, grazie mille
Rizio
Rizio
Si vis pacem para bellum