Новые ответы

IP inspect на 2951,

Ivan Pomidorov, 25-Дек-12, 11:39 [смотреть все]

Подскажите, как в роутерах с иосом старше 15 настраивается инспектирование протоколов (имеется ввиду когда роутер сохраняет сессию инициированную изнутри, и пропускает ответный трафик).
Помниться в старых иосах была комманда ip inspect, а в 15 нет. У меня ios 15.1(4)M4 с UC лицензией, похоже что нужно иметь security.. хотелось бы знать как назывется технология чтобы поискать во feature navigator.

Ответить | Сообщить модератору

IP inspect на 2951, Valery12, 12:25 , 25-Дек-12 (1) +1
> Подскажите, как в роутерах с иосом старше 15 настраивается инспектирование протоколов (имеется
> ввиду когда роутер сохраняет сессию инициированную изнутри, и пропускает ответный трафик).
> Помниться в старых иосах была комманда ip inspect, а в 15 нет.
> У меня ios 15.1(4)M4 с UC лицензией, похоже что нужно иметь
> security.. хотелось бы знать как назывется технология чтобы поискать во feature
> navigator.
в новых ip inspect тоже никуда не делся просто нужен IOS с firewall feature set, а он действительно в security, технология называется CBAC (Context-Based Access Control)
Ответить | Сообщить модератору

IP inspect на 2951, Ivan Pomidorov, 14:48 , 25-Дек-12 (2)
Премного благодарен
Ответить | Сообщить модератору
IP inspect на 2951, Ivan Pomidorov, 15:04 , 25-Дек-12 (3)
В таком случае, если лицензии не будет, то мне нужно будет явно разрешить в acl ходить из интернета всем к адресам тех пользователей которые ходят в интернет, чтобы до них доходили ответы?
Или можно как то правильнее сделать?
Ответить | Сообщить модератору

IP inspect на 2951, elk_killa, 15:10 , 25-Дек-12 (4)
> В таком случае, если лицензии не будет, то мне нужно будет явно
> разрешить в acl ходить из интернета всем к адресам тех пользователей
> которые ходят в интернет, чтобы до них доходили ответы?
> Или можно как то правильнее сделать?
permit tcp xx xx established
Ответить | Сообщить модератору

IP inspect на 2951, VolanD, 19:20 , 25-Дек-12 (6)
>> В таком случае, если лицензии не будет, то мне нужно будет явно
>> разрешить в acl ходить из интернета всем к адресам тех пользователей
>> которые ходят в интернет, чтобы до них доходили ответы?
>> Или можно как то правильнее сделать?
> permit tcp xx xx established
я так понял автор закрыться хочет. а тут пакет с син флагом обойдет это правило ИМХО.
Ответить | Сообщить модератору

IP inspect на 2951, elk_killa, 23:21 , 25-Дек-12 (7)
>> permit tcp xx xx established
> я так понял автор закрыться хочет. а тут пакет с син флагом
> обойдет это правило ИМХО.
разве для этого сначала не должен пройти син _изнутри_наружу_? А без этого безусловно разрешить ответный траффик полностью по протоколам еще более несукурно
ну или костылить рефлексив, ага
Ответить | Сообщить модератору

IP inspect на 2951, VolanD, 11:32 , 26-Дек-12 (9)
>>> permit tcp xx xx established
>> я так понял автор закрыться хочет. а тут пакет с син флагом
>> обойдет это правило ИМХО.
> разве для этого сначала не должен пройти син _изнутри_наружу_? А без этого
> безусловно разрешить ответный траффик полностью по протоколам еще более несукурно
> ну или костылить рефлексив, ага
Могу ошибаться, но вроде как начальный syn не отслеживается. Отслеживается ack во входящем пакете. Но не факт, могу ошибаться.
Ответить | Сообщить модератору

IP inspect на 2951, elk_killa, 17:14 , 26-Дек-12 (10)
>>>> permit tcp xx xx established
>>> я так понял автор закрыться хочет. а тут пакет с син флагом
>>> обойдет это правило ИМХО.
>> разве для этого сначала не должен пройти син _изнутри_наружу_? А без этого
>> безусловно разрешить ответный траффик полностью по протоколам еще более несукурно
>> ну или костылить рефлексив, ага
> Могу ошибаться, но вроде как начальный syn не отслеживается. Отслеживается ack во
> входящем пакете. Но не факт, могу ошибаться.
ну на мой взгляд, было бы глупо пропускать любой пакет с syn ack без syn изнутри :)
точного подтверждения тоже не нагуглил, так что на правах имхо
Ответить | Сообщить модератору
IP inspect на 2951, elk_killa, 17:25 , 26-Дек-12 (11)
>>>> permit tcp xx xx established
>>> я так понял автор закрыться хочет. а тут пакет с син флагом
>>> обойдет это правило ИМХО.
>> разве для этого сначала не должен пройти син _изнутри_наружу_? А без этого
>> безусловно разрешить ответный траффик полностью по протоколам еще более несукурно
>> ну или костылить рефлексив, ага
> Могу ошибаться, но вроде как начальный syn не отслеживается. Отслеживается ack во
> входящем пакете. Но не факт, могу ошибаться.
погуглил, похоже, правда ваша
Ответить | Сообщить модератору

IP inspect на 2951, VolanD, 19:19 , 25-Дек-12 (5) +1
> В таком случае, если лицензии не будет, то мне нужно будет явно
> разрешить в acl ходить из интернета всем к адресам тех пользователей
> которые ходят в интернет, чтобы до них доходили ответы?
> Или можно как то правильнее сделать?
рефлексивный ацл не подойдет?
Ответить | Сообщить модератору

IP inspect на 2951, Ivan Pomidorov, 09:03 , 26-Дек-12 (8)
> рефлексивный ацл не подойдет?
Почитал про establish. Насколько я понял это слово как раз и предназначено чтобы не пускать пакеты с флагом syn снаружи, правда только для tcp траффика. Мне этого достаточно. Ну а если придеться заморачиваться icmp, то похоже что нужен как раз reflect acl.
Спасибо. Буду пробывать.
Ответить | Сообщить модератору