Добрый день!
Имеем cisco 2801 вот вырезка из конфига:ip inspect name FW tcp router-traffic
ip inspect name FW udp router-trafficinterface FastEthernet0/0
ip address 172.16.1.8 255.255.255.0
ip access-group WAN-IN in
ip inspect FW outip access-list extended WAN-IN
permit tcp any any established
permit icmp any any
permit tcp any any eq 22
permit tcp any any eq telnetПри этом нет возможности слить рабочий конфиг с маршрутизатора на удаленный tftp сервер.
copy running-config tftp://172.16.1.160
Address or name of remote host [172.16.1.160]?
Destination filename [s10-r1-confg]?
.....
%Error opening tftp://172.16.1.160/s10-r1-confg (Timed out)В логах появляется следующее:
000097: Apr 12 15:33:32 UZB: %SEC-6-IPACCESSLOGP: list WAN-IN denied udp 172.16.1.160(59691) -> 172.16.1.8(64445), 1 packetт.е. инспекция не работает :(
sh ip inspect all
Session audit trail is disabled
Session alert is enabled
one-minute (sampling period) thresholds are [unlimited : unlimited] connections
max-incomplete sessions thresholds are [unlimited : unlimited]
max-incomplete tcp connections per host is unlimited. Block-time 0 minute.
tcp synwait-time is 30 sec -- tcp finwait-time is 5 sec
tcp idle-time is 3600 sec -- udp idle-time is 30 sec
dns-timeout is 5 sec
Inspection Rule Configuration
Inspection name FW
udp alert is on audit-trail is off timeout 30
inspection of router local traffic is enabled
tcp alert is on audit-trail is off timeout 3600
inspection of router local traffic is enabled
tftp alert is on audit-trail is off timeout 30Interface Configuration
Interface FastEthernet0/0
Inbound inspection rule is not set
Outgoing inspection rule is FW
udp alert is on audit-trail is off timeout 30
inspection of router local traffic is enabled
tcp alert is on audit-trail is off timeout 3600
Inbound access list is WAN-IN
Outgoing access list is not setHalf-open Sessions
Session 63334B78 (172.16.1.8:50593)=>(172.16.1.160:69) udp SIS_OPENING
Сам пока не силен в inspect, но есть в Фёдоров С.А. "Курс молодого бойца cisco" (http://anticisco.ru/pubs/YoungSoldierCisco.pdf) раздел "Защищаемся маршрутизатором".Как раз про инспектирование пишет.
Посмотри, может поможет...
>Сам пока не силен в inspect, но есть в Фёдоров С.А. "Курс
>молодого бойца cisco" (http://anticisco.ru/pubs/YoungSoldierCisco.pdf) раздел "Защищаемся маршрутизатором".
>
>Как раз про инспектирование пишет.
>
>Посмотри, может поможет...Я это уже читал, не помогло
debug ip inspect чего говорит?IMHO, порты странные в ошибке...
Попробуйте другой TFTP сервер....
>
>debug ip inspect чего говорит?
>
>IMHO, порты странные в ошибке...
>Попробуйте другой TFTP сервер....Пробовал разные tftp серверы (Tftpd, 3CDaemon) результат одинаковый.
S10-R1#debug ip inspect udp
S10-R1#debug ip inspect tftp
S10-R1#copy running-config tftp://172.16.1.160
Address or name of remote host [172.16.1.160]?
Destination filename [s10-r1-confg]?000079: Apr 13 10:21:50 UZB: FIREWALL UDP: sis 633CD1B8 pak 62C86CB0 SIS_CLOSED UDP packet (172.16.1.8:57217) => (172.16.1.160:69) datalen 21.
000080: Apr 13 10:21:53 UZB: FIREWALL UDP: sis 633CD1B8 pak 631201E0 SIS_OPENING UDP packet (172.16.1.8:57217) => (172.16.1.160:69) datalen 21
000081: Apr 13 10:21:53 UZB: %SEC-6-IPACCESSLOGP: list WAN-IN denied udp 172.16.1.160(49881) -> 172.16.1.8(57217), 1 packet .
000082: Apr 13 10:21:57 UZB: FIREWALL UDP: sis 633CD1B8 pak 63123318 SIS_OPENING UDP packet (172.16.1.8:57217) => (172.16.1.160:69) datalen 21
000083: Apr 13 10:21:57 UZB: %SEC-6-IPACCESSLOGP: list WAN-IN denied udp 172.16.1.160(49882) -> 172.16.1.8(57217), 1 packet
000087: Apr 13 10:22:02 UZB: FIREWALL UDP: sis 633CD1B8 pak 63124830 SIS_OPENING UDP packet (172.16.1.8:57217) => (172.16.1.160:69) datalen 21
000088: Apr 13 10:22:02 UZB: %SEC-6-IPACCESSLOGP: list WAN-IN denied udp 172.16.1.160(49883) -> 172.16.1.8(57217), 1 packet
000091: Apr 13 10:22:08 UZB: FIREWALL UDP: sis 633CD1B8 pak 62C888D0 SIS_OPENING UDP packet (172.16.1.8:57217) => (172.16.1.160:69) datalen 21
000092: Apr 13 10:22:08 UZB: %SEC-6-IPACCESSLOGP: list WAN-IN denied udp 172.16.1.160(49884) -> 172.16.1.8(57217), 1 packet
%Error opening tftp://172.16.1.160/s10-r1-confg (Timed out)
S10-R1#
А кас. странных номеров портов, то как я нашел в нете:Many TFTP servers use random UDP port numbers for individual TFTP sessions in accordance with sections 3 and 4 of RFC 1350 (TFTP misuses UDP port numbers as transfer identifiers).
это не противоречит RFC.
и как я понял однозначного решения этой проблемы нет, только ACL-ом явно разрешить весь udp траффик на конкретный хост.
Решением была бы команда
ip inspect name FW tftp router-traffic но ее пока нет в природе :(