https://www.opennet.ru/openforum/vsluhforumID6/14701.html Hello, All!<br><br>Есть 3725. На интерфейсе, подключенном к интернет висит ACL, который блокирует весь трафик на циску, кроме icmp.<br><br>На интерфейсе в сторону локалки висит ip inspect FW_inside in.<br>Трафик из локалки через nat спокойно бегает в интернет и обратно.<br><br>НО! циска не резолвит имена, так как правило ip inspect на нее не распространяется.<br>Подскажите, как правильно повесить ip inspect, чтобы CBAC отслеживал собственный трафик циски и открывал ACL для ответного трафика?<br><br> https://www.opennet.ru/openforum/vsluhforumID6/14701.html#2 Wed, 24 Oct 2007 21:44:45 GMT проблема решается добавлением ключа router-traffic при описании правила ip inspect<br><br>ip inspect name Local_Traf udp router-traffic<br>interface GigabitEthernet0/1.1<br>ip inspect Local_Traf out<br> https://www.opennet.ru/openforum/vsluhforumID6/14701.html#1 Fri, 19 Oct 2007 10:56:39 GMT &gt;[оверквотинг удален]<br>&gt;Есть 3725. На интерфейсе, подключенном к интернет висит ACL, который блокирует весь <br>&gt;трафик на циску, кроме icmp. <br>&gt;<br>&gt;На интерфейсе в сторону локалки висит ip inspect FW_inside in. <br>&gt;Трафик из локалки через nat спокойно бегает в интернет и обратно. <br>&gt;<br>&gt;НО! циска не резолвит имена, так как правило ip inspect на нее <br>&gt;не распространяется. <br>&gt;Подскажите, как правильно повесить ip inspect, чтобы CBAC отслеживал собственный трафик циски <br>&gt;и открывал ACL для ответного трафика? <br><br>В общем так в принципе , я не видел вашь конфиг .. в принципе без разницы куда прикручивать инспект к внешнему или внутреннему интерфейсу .. у вас он in к внутреннему похоже так ?? Значит тот трафик который вы разрешаете на этот интерфейс in будет разрешаться обратный поток на внешнем интерфейсе .... вот так вот ..<br>