ZBF Droppa ICMP

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Rispondi
moorpheus
Cisco fan
Messaggi: 49
Iscritto il: mer 12 set , 2007 7:44 am

Ciao a tutti,
avendo dei problemi con un sito particolare che non apre alcuni link e considerando che il sito è tutto in flash e java, per cercare di capire cosa succedeva ho dato uno sguardo ai log ed ho notato che ci sono parecchi drop del protocollo ICMP.

Secondo voi questa cosa potrebbe crearmi dei problemi con il sito suddetto?
Va considerato che il drop non è solo su un unico IP, ma su parecchi.

Cosa ne pensate?

P.S. il router è un 877 con IOS advipservicesK9-mz.150-1.M e zbf attivo
Avatar utente
ghira
Holy network Shaman
Messaggi: 668
Iscritto il: mer 30 mar , 2011 5:25 pm

Tanto per cominciare passa a M7, o a 15.1 se puoi.
moorpheus
Cisco fan
Messaggi: 49
Iscritto il: mer 12 set , 2007 7:44 am

Ciao Ghira

Ma le 15.1 non danno dei problemi? Almeno così ho letto in giro.

Comunque a me interessa sapere se il drop dell'ICMP crea dei problemi o no.
Avatar utente
ghira
Holy network Shaman
Messaggi: 668
Iscritto il: mer 30 mar , 2011 5:25 pm

Lo ZBFW e' abbastanza nuovo ed e' una cosa menzionata moltissime volte nelle release notes.

Ecco perche' ritengo che sia opportuno usare 15.0(1)M7 invece di 15.0(1)M come prima cosa.

Ci sono stati problemi con la 15.1, e' vero, ma finalmente con la 15.1(4)M2 abbiamo una versione
funzionante.
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

ghira ha scritto:Lo ZBFW e' abbastanza nuovo ed e' una cosa menzionata moltissime volte nelle release notes.

Ecco perche' ritengo che sia opportuno usare 15.0(1)M7 invece di 15.0(1)M come prima cosa.

Ci sono stati problemi con la 15.1, e' vero, ma finalmente con la 15.1(4)M2 abbiamo una versione
funzionante.
A parte il change log hai qualche link sotto mano riguardo allo zbf?
(lo sò sono pigro :D scherzi a parte è per non perdermi nei quintali di link più o meno inutili sul sito, se hai qualcosa di già "concreto" leggo volentieri qualcosa)

Tnk's
Rizio
Si vis pacem para bellum
moorpheus
Cisco fan
Messaggi: 49
Iscritto il: mer 12 set , 2007 7:44 am

Heeeee purtroppo non ho contratti con Cisco.
Se tu dici che l'M7 è meglio non è che potresti inviarmelo? 8)


Ancora attendo notizie sull'ICMP.
E' meglio dropparlo o no.
So che è utile nell'error reporting delle trasmissioni IP, ma non so se i siti internet potrebbero non funzionare se si droppano le trasmissioni ICMP.
moorpheus
Cisco fan
Messaggi: 49
Iscritto il: mer 12 set , 2007 7:44 am

Risolto

Nonostante avessi abilitato l'inspect su http, percui la navigazione sugli altri siti andava senza problemi, ho dovuto creare un'ACL ad hoc per l'indirizzo IP su porta 80 di quel sito specifico.
Bha, sta cosa proprio non la capisco.
Heeeee Cisco Cisco.
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

moorpheus ha scritto:Risolto

Nonostante avessi abilitato l'inspect su http, percui la navigazione sugli altri siti andava senza problemi, ho dovuto creare un'ACL ad hoc per l'indirizzo IP su porta 80 di quel sito specifico.
Bha, sta cosa proprio non la capisco.
Heeeee Cisco Cisco.
Cioè che tipo di acl? Per farlo transitare? Ti chiedo info perchè anche io ogni tanto ho problemi di quel tipio ma non avevo mai verificato le impostazioni ICMP.

Rizio
Si vis pacem para bellum
moorpheus
Cisco fan
Messaggi: 49
Iscritto il: mer 12 set , 2007 7:44 am

In realtà ho creato una ACL estesa permettendo al quell'IP il servizio www su TCP.

Non so per quale motivo il sito venisse droppato e se dipendeva dall'ICMP, ma con l'ACL ho risolto.

La cosa bella è che la regola ho dovuto applicarla da IN verso OUT e non viceversa.
Infatti dai log vedevo che veniva droppata la richiesta verso quel sito e non la trasmissione dei dati dal sito web verso il PC richiedente.

Questo è quanto: access-list 120 permit tcp host 165.193.250.113 eq www any

Nell'applicarla allo zbf fai attenzione che la regola venga prima di quella generale HTTP:

Crei la classe:
class-map type inspect match-any Doosan_permit
match access-group 120
class-map type inspect match-all sdm-protocol-http
match protocol http

-----------------------------
Applichi la regola:
policy-map type inspect sdm-inspect
class type inspect sdm-invalid-src
drop log
class type inspect Doosan_permit
pass
class type inspect sdm-protocol-http
inspect

ti assicuri che sia applicata alle zone:
zone-pair security sdm-zp-in-out source in-zone destination out-zone
service-policy type inspect sdm-inspect

Puoi usare quell'ACL per tutti i siti dove riscontri problemi simili.
Rizio
Messianic Network master
Messaggi: 1158
Iscritto il: ven 12 ott , 2007 2:48 pm
Contatta:

Ok, grazie mille

Rizio
Si vis pacem para bellum
Rispondi