The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"IP  inspect на 2951"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение [ Отслеживать ]

"IP  inspect на 2951"  +/
Сообщение от Ivan Pomidorov (ok) on 25-Дек-12, 11:39 
Подскажите, как в роутерах с иосом старше 15 настраивается инспектирование протоколов (имеется ввиду когда роутер сохраняет сессию инициированную изнутри, и пропускает ответный трафик).
Помниться в старых иосах была комманда ip inspect, а в 15 нет. У меня ios 15.1(4)M4 с UC лицензией, похоже что нужно иметь security.. хотелось бы знать как назывется технология чтобы поискать во feature navigator.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "IP  inspect на 2951"  +1 +/
Сообщение от Valery12 (??) on 25-Дек-12, 12:25 
> Подскажите, как в роутерах с иосом старше 15 настраивается инспектирование протоколов (имеется
> ввиду когда роутер сохраняет сессию инициированную изнутри, и пропускает ответный трафик).
> Помниться в старых иосах была комманда ip inspect, а в 15 нет.
> У меня ios 15.1(4)M4 с UC лицензией, похоже что нужно иметь
> security.. хотелось бы знать как назывется технология чтобы поискать во feature
> navigator.

в новых ip inspect тоже никуда не делся просто нужен IOS с firewall feature set, а он действительно в security, технология называется CBAC (Context-Based Access Control)

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "IP  inspect на 2951"  +/
Сообщение от Ivan Pomidorov (ok) on 25-Дек-12, 14:48 
Премного благодарен
Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "IP  inspect на 2951"  +/
Сообщение от Ivan Pomidorov (ok) on 25-Дек-12, 15:04 
В таком случае, если лицензии не будет, то мне нужно будет явно разрешить в acl ходить из интернета всем к адресам тех пользователей которые ходят в интернет, чтобы до них доходили ответы?
Или можно как то правильнее сделать?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

4. "IP  inspect на 2951"  +/
Сообщение от elk_killa (ok) on 25-Дек-12, 15:10 
> В таком случае, если лицензии не будет, то мне нужно будет явно
> разрешить в acl ходить из интернета всем к адресам тех пользователей
> которые ходят в интернет, чтобы до них доходили ответы?
> Или можно как то правильнее сделать?

permit tcp xx xx established

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

6. "IP  inspect на 2951"  +/
Сообщение от VolanD (ok) on 25-Дек-12, 19:20 
>> В таком случае, если лицензии не будет, то мне нужно будет явно
>> разрешить в acl ходить из интернета всем к адресам тех пользователей
>> которые ходят в интернет, чтобы до них доходили ответы?
>> Или можно как то правильнее сделать?
> permit tcp xx xx established

я так понял автор закрыться хочет. а тут пакет с син флагом обойдет это правило ИМХО.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "IP  inspect на 2951"  +/
Сообщение от elk_killa (ok) on 25-Дек-12, 23:21 
>> permit tcp xx xx established
> я так понял автор закрыться хочет. а тут пакет с син флагом
> обойдет это правило ИМХО.

разве для этого сначала не должен пройти син _изнутри_наружу_? А без этого безусловно разрешить ответный траффик полностью по протоколам еще более несукурно
ну или костылить рефлексив, ага

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

9. "IP  inspect на 2951"  +/
Сообщение от VolanD (ok) on 26-Дек-12, 11:32 
>>> permit tcp xx xx established
>> я так понял автор закрыться хочет. а тут пакет с син флагом
>> обойдет это правило ИМХО.
> разве для этого сначала не должен пройти син _изнутри_наружу_? А без этого
> безусловно разрешить ответный траффик полностью по протоколам еще более несукурно
> ну или костылить рефлексив, ага

Могу ошибаться, но вроде как начальный syn не отслеживается. Отслеживается ack во входящем пакете. Но не факт, могу ошибаться.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "IP  inspect на 2951"  +/
Сообщение от elk_killa (ok) on 26-Дек-12, 17:14 
>>>> permit tcp xx xx established
>>> я так понял автор закрыться хочет. а тут пакет с син флагом
>>> обойдет это правило ИМХО.
>> разве для этого сначала не должен пройти син _изнутри_наружу_? А без этого
>> безусловно разрешить ответный траффик полностью по протоколам еще более несукурно
>> ну или костылить рефлексив, ага
> Могу ошибаться, но вроде как начальный syn не отслеживается. Отслеживается ack во
> входящем пакете. Но не факт, могу ошибаться.

ну на мой взгляд, было бы глупо пропускать любой пакет с syn ack без syn изнутри :)
точного подтверждения тоже не нагуглил, так что на правах имхо

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "IP  inspect на 2951"  +/
Сообщение от elk_killa (ok) on 26-Дек-12, 17:25 
>>>> permit tcp xx xx established
>>> я так понял автор закрыться хочет. а тут пакет с син флагом
>>> обойдет это правило ИМХО.
>> разве для этого сначала не должен пройти син _изнутри_наружу_? А без этого
>> безусловно разрешить ответный траффик полностью по протоколам еще более несукурно
>> ну или костылить рефлексив, ага
> Могу ошибаться, но вроде как начальный syn не отслеживается. Отслеживается ack во
> входящем пакете. Но не факт, могу ошибаться.

погуглил, похоже, правда ваша

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

5. "IP  inspect на 2951"  +1 +/
Сообщение от VolanD (ok) on 25-Дек-12, 19:19 
> В таком случае, если лицензии не будет, то мне нужно будет явно
> разрешить в acl ходить из интернета всем к адресам тех пользователей
> которые ходят в интернет, чтобы до них доходили ответы?
> Или можно как то правильнее сделать?

рефлексивный ацл не подойдет?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

8. "IP  inspect на 2951"  +/
Сообщение от Ivan Pomidorov (ok) on 26-Дек-12, 09:03 
> рефлексивный ацл не подойдет?

Почитал про establish. Насколько я понял это слово как раз и предназначено чтобы не пускать пакеты с флагом syn снаружи, правда только для tcp траффика. Мне этого достаточно. Ну а если придеться заморачиваться icmp, то похоже что нужен как раз reflect acl.

Спасибо. Буду пробывать.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру