Ciao! Sto tentando di fare una cosa semplice con un Cisco, ma sono arrugginito abbbbestia! Un router ADSL, due FastEthernet, uno verso la LAN e una verso la DMZ, IOS 12.3(15a). Ovviamente il mio obiettivo e' LAN verso WAN+DMZ e DMZ da nessuna parte, se non l'update dei pacchetti. La conf che sto cercando di applicare e' in calce, ovviamente e' leggermente piu' complessa, ma non volevo inondarvi di informazioni ;-)
Al momento ho l'inspect CBAC su Dialer0 e dalla LAN vado tranquillamente sia in DMZ che in WAN. Se proprio-proprio mi azzardo a mettere sulla FE0 la clausola "ip access-group LAN_inbound", non funziona piu' una beata .... In realta' sembra che la clausola "ip inspect standard in" sulla FE0 non faccia gli effetti che prevedevo... mi basterebbe appendere sulla access-list "LAN_inbound" la clausola: "permit tcp any any reflect myreflectedacl" e il traffico tcp funziona. Cosa sto sbagliando?? Grazie mille. Ciao ciao, Gippa P.S. Con "show ip inspect all" vedo che sia le ACL che la conf di inspect correttamente. ! ip inspect name standard tcp timeout 3600 ip inspect name standard udp timeout 3600 ip inspect name standard ftp timeout 3600 ip inspect name standard rcmd timeout 3600 ip inspect name standard smtp timeout 3600 ip inspect name standard sqlnet timeout 3600 ip inspect name standard tftp timeout 30 ip inspect name standard http timeout 3600 ip inspect name standard icmp timeout 3600 ip inspect name standard rtsp timeout 3600 ip inspect name standard sip timeout 3600 ip inspect name standard realaudio timeout 3600 ip inspect name standard h323 timeout 3600 ! interface ATM0 no ip address no atm ilmi-keepalive dsl operating-mode auto pvc 8/35 encapsulation aal5mux ppp dialer dialer pool-member 1 ! interface FastEthernet1 description Interface DMZ ip address 192.168.2.1 ip inspect standard in ip inspect standard out ip nat inside ! interface FastEthernet0 description Interface LAN ip address 192.168.1.1 255.255.255.0 ip access-group LAN_inbound ip inspect standard in ip nat inside speed auto ! interface Dialer0 bandwidth 300 ip address negotiated ip access-group Internet_IN in no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip inspect standard out encapsulation ppp dialer pool 1 dialer-group 1 no cdp enable ppp authentication pap callin ppp pap sent-username XXXXXX password 7 XXXXXX ppp ipcp mask request ppp ipcp address accept ! ip access-list extended Internet_IN remark ping permit icmp any any echo remark https/http permit tcp any any eq 443 permit tcp any any eq www permit tcp any host mybastion eq 25 ! ip access-list extended LAN_inbound remark ping permit icmp any any echo remark management of router permit tcp 192.168.1.0 0.0.0.255 host 192.168.1.1 eq telnet remark Permit SMTP from DMZ permit tcp 192.168.2.0 0.0.0.255 host 192.168.1.250 eq 25 ! ip nat inside source route-map nonat interface Dialer0 overload ! route-map nonat permit 10 match ip address 110 ! access-list 110 remark per route-map nonat access-list 110 permit ip 192.168.1.0 0.0.0.255 any access-list 110 permit ip 192.168.2.0 0.0.0.255 any ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
