Mi spiegate cortesemente l'effetto che producono le voci "in"/"out"?
In pratica, se volessi applicare le ispezioni definite con "ip inspect name firewall xxx" sulla dialer, dovrei mettere il parametro in o out?
Dalle utilissime configurazioni di Wizard deduco che si usi "out"...ma perche'???
Io vorrei ispezionare il traffico in ingresso.
Forse il parametro va interpretato come "from out"??
ip inspect Firewall out
Moderatore: Federico.Lagni
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Sulla dialer (o cmq la interfaccia verso internet) è in OUTIn pratica, se volessi applicare le ispezioni definite con "ip inspect name firewall xxx" sulla dialer, dovrei mettere il parametro in o out?
Sulla vlanx o sulla eth devi mettere in IN
In sostanza IN o OUT dipende da dove parte e dove va il traffico...
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
-
masterx81
- Cisco enlightened user
- Messaggi: 154
- Iscritto il: mer 20 giu , 2007 11:20 am
Ciao!
allora, io sul mio 877 ho smanettato un po, e da quello che ho potuto vedere per controllare i pacchetti in USCITA (ed aprire la relativa porta in ingresso) puoi applicare l'ip inspect in direzione IN sulla ethernet (Tipo: Controllami tutto il traffico che mi entra sull'interfaccia di rete verso qualunque destinazione. Il router poi si preoccupa di fare tutto il resto), oppurin OUT sull'interfaccia di internet (Tipo: controllami tutto il traffico che esce da questa interfaccia e preoccupati di crearmi le eccezioni nelle acl da solo). Io ho preferito metterlo in out sulla interfaccia esterna, sopratutto perchè all'inizio speravo che facendo così sfruttasse l'ip inspct anche per i pacchetti originati dal router (ntp, dns, etc), ma purtroppo per quelli devi lasciare le acl, in quanto non vengono analizzati. Se hai ad esempio 2 interfaccie di ingresso devi pero' dare su entrambe l'ip inspect IN, se no su quella in cui non è configurato l'ip inspect ovviamente non funziona.
Per analizzare il traffico in ingresso (per proteggere i servizi interni) è un po' piu' strano e non ho capito neanche io come farlo girare:
Ho pravato a mettere l'ip inspect in direzione IN sulla interfaccia esterna ma non mi analizza il traffico....
Di questo non saprei neanche io come aiutarti...
Magari qualcuno aiuta pure me a capire come mai non va...
allora, io sul mio 877 ho smanettato un po, e da quello che ho potuto vedere per controllare i pacchetti in USCITA (ed aprire la relativa porta in ingresso) puoi applicare l'ip inspect in direzione IN sulla ethernet (Tipo: Controllami tutto il traffico che mi entra sull'interfaccia di rete verso qualunque destinazione. Il router poi si preoccupa di fare tutto il resto), oppurin OUT sull'interfaccia di internet (Tipo: controllami tutto il traffico che esce da questa interfaccia e preoccupati di crearmi le eccezioni nelle acl da solo). Io ho preferito metterlo in out sulla interfaccia esterna, sopratutto perchè all'inizio speravo che facendo così sfruttasse l'ip inspct anche per i pacchetti originati dal router (ntp, dns, etc), ma purtroppo per quelli devi lasciare le acl, in quanto non vengono analizzati. Se hai ad esempio 2 interfaccie di ingresso devi pero' dare su entrambe l'ip inspect IN, se no su quella in cui non è configurato l'ip inspect ovviamente non funziona.
Per analizzare il traffico in ingresso (per proteggere i servizi interni) è un po' piu' strano e non ho capito neanche io come farlo girare:
Ho pravato a mettere l'ip inspect in direzione IN sulla interfaccia esterna ma non mi analizza il traffico....
Di questo non saprei neanche io come aiutarti...
Magari qualcuno aiuta pure me a capire come mai non va...
-
Wizard
- Intergalactic subspace network admin
- Messaggi: 3441
- Iscritto il: ven 03 feb , 2006 10:04 am
- Località: Emilia Romagna
- Contatta:
Per analizzare il traffico entante è molto meglio IPS
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
