Ciao a tutti,
avrei bisogno di capire il funzionamento del comando ip inspect e come si deve utilizzare.
ho trovato vari link su internet che spiegano il funzionamento ma non riesco a capire esattamente il suo comportamento.
c'è qualcuno che si offre per darmi un breve spiegazione????
grazie anticipatamente a tutti
comando ip inspect ????
Moderatore: Federico.Lagni
- richardsith
- Cisco fan
- Messaggi: 37
- Iscritto il: mar 08 lug , 2008 1:44 pm
- Località: everywhere
- Contatta:
Se "a" è il successo, la sua formula è: a=x+y*z, dove x è il lavoro, y il gioco e z tenere la bocca chiusa.
-- Albert Einstein
-- Albert Einstein
- ghira
- Holy network Shaman
- Messaggi: 668
- Iscritto il: mer 30 mar , 2011 5:25 pm
Molto sinteticamente:
blocchi tutto in entrata. ispezioni tutto in uscita.
se arrivano cose da fuori che sembrano risposte plausibili a pacchetti "ispezionati",
il router fa passare le risposte, nonostante l'access-list "deny any any".
ovviamente se ci sono delle cose che vuoi permettere da fuori comunque (http?
ssh?) allora permetti queste cose esplicitamente.
blocchi tutto in entrata. ispezioni tutto in uscita.
se arrivano cose da fuori che sembrano risposte plausibili a pacchetti "ispezionati",
il router fa passare le risposte, nonostante l'access-list "deny any any".
ovviamente se ci sono delle cose che vuoi permettere da fuori comunque (http?
ssh?) allora permetti queste cose esplicitamente.
- richardsith
- Cisco fan
- Messaggi: 37
- Iscritto il: mar 08 lug , 2008 1:44 pm
- Località: everywhere
- Contatta:
grazie per la spiegazione
quindi quando imposto un
ip inspect name TEST tcp
dico al cisco di ispezionare tutti pacchetti tcp in uscita e di bloccarli in entrata???anche se non cè 1 ACL in IN che blocca i pacchetti TCP?
grazie
quindi quando imposto un
ip inspect name TEST tcp
dico al cisco di ispezionare tutti pacchetti tcp in uscita e di bloccarli in entrata???anche se non cè 1 ACL in IN che blocca i pacchetti TCP?
grazie
Se "a" è il successo, la sua formula è: a=x+y*z, dove x è il lavoro, y il gioco e z tenere la bocca chiusa.
-- Albert Einstein
-- Albert Einstein
- richardsith
- Cisco fan
- Messaggi: 37
- Iscritto il: mar 08 lug , 2008 1:44 pm
- Località: everywhere
- Contatta:
grazie mille per la spiegazione sei stato molto chiaro.
Quindi se blocco con 1 ACL in IN, tutto il traffico TCP non veritiero viene rifiutato, ma se la richiesta è fatta in OUT inspect apre un buco temporale per accettare la risposta dall'esterno facendo passare il pacchetto in IN.
corretto???
Quindi se blocco con 1 ACL in IN, tutto il traffico TCP non veritiero viene rifiutato, ma se la richiesta è fatta in OUT inspect apre un buco temporale per accettare la risposta dall'esterno facendo passare il pacchetto in IN.
corretto???
Se "a" è il successo, la sua formula è: a=x+y*z, dove x è il lavoro, y il gioco e z tenere la bocca chiusa.
-- Albert Einstein
-- Albert Einstein
- ghira
- Holy network Shaman
- Messaggi: 668
- Iscritto il: mer 30 mar , 2011 5:25 pm
perche' limitarti al tcp? blocca tutto, ispeziona tutto.richardsith ha scritto:grazie mille per la spiegazione sei stato molto chiaro.
Quindi se blocco con 1 ACL in IN, tutto il traffico TCP non veritiero viene rifiutato, ma se la richiesta è fatta in OUT inspect apre un buco temporale per accettare la risposta dall'esterno facendo passare il pacchetto in IN.
corretto???
Va bene, questo e' leggermente esagerato. Blocca quasi tutto, pero'. Dovrei
Controllare ma io permetto alcuni tipi di icmp, ssh e http da alcuni
Posti, pochissime altre cose, poi deny any any.
- richardsith
- Cisco fan
- Messaggi: 37
- Iscritto il: mar 08 lug , 2008 1:44 pm
- Località: everywhere
- Contatta:
grazie per la corposa e breve formazione sull inspect adesso mi è più chiaro il suo funzionamento.
ricontraccambierò il tuo favore al + presto.
a presto
ricontraccambierò il tuo favore al + presto.
a presto
Se "a" è il successo, la sua formula è: a=x+y*z, dove x è il lavoro, y il gioco e z tenere la bocca chiusa.
-- Albert Einstein
-- Albert Einstein
- ghira
- Holy network Shaman
- Messaggi: 668
- Iscritto il: mer 30 mar , 2011 5:25 pm
Comunque, per la cronaca la Cisco dice adesso che "ip inspect" e' roba 'legacy', e che dovremmo
passare a "zone-based firewall".
Se hai solo due interfacce il vantaggio non mi e' chiaro, devo dire. Comunque, mi sa
che i miglioramenti da adesso in poi appariranno solo in ZBFW. Se lo vuoi provare,
forse ti conviene passare alla 15.0 o 15.1.
passare a "zone-based firewall".
Se hai solo due interfacce il vantaggio non mi e' chiaro, devo dire. Comunque, mi sa
che i miglioramenti da adesso in poi appariranno solo in ZBFW. Se lo vuoi provare,
forse ti conviene passare alla 15.0 o 15.1.
- richardsith
- Cisco fan
- Messaggi: 37
- Iscritto il: mar 08 lug , 2008 1:44 pm
- Località: everywhere
- Contatta:
è da dargli un'occhiata, anche se ancora non trovo 5 min per mettere mano ad 1 ASA.
Cmq in qsti gg appena ho 5 min vedo il funzionamento di zone-based firewall e vedo di tiranci fuori qlke cfg.
Ti faccio sapere cosa riesco a tirarci fuori!!!
Cmq in qsti gg appena ho 5 min vedo il funzionamento di zone-based firewall e vedo di tiranci fuori qlke cfg.
Ti faccio sapere cosa riesco a tirarci fuori!!!
Se "a" è il successo, la sua formula è: a=x+y*z, dove x è il lavoro, y il gioco e z tenere la bocca chiusa.
-- Albert Einstein
-- Albert Einstein
- ghira
- Holy network Shaman
- Messaggi: 668
- Iscritto il: mer 30 mar , 2011 5:25 pm
ZBFW e' una cosa sui router.richardsith ha scritto:è da dargli un'occhiata, anche se ancora non trovo 5 min per mettere mano ad 1 ASA.
Cmq in qsti gg appena ho 5 min vedo il funzionamento di zone-based firewall e vedo di tiranci fuori qlke cfg.
Ti faccio sapere cosa riesco a tirarci fuori!!!