Zitat von ansolut
Das beantwortet keines Wegs meine Anfrage. 
Ich habe ein Lifesystem wo testen sone Sache ist deshlab meine Frage fürs Verständis. Wenn ich mir das alleine Beantworten könnte würde ich keinen Beitrag schreiben.
|
Da hast Du Recht! Zur Erklärung, warum ich so reagiert habe: Ich habe den Eindruck, dass Du nicht wirklich weisst, wie eine PIX/ASA arbeitet. Dieses Forum sollte m.E. dazu dienen Tipps und Tricks zu geben, oder auch bei Problemen zu helfen. Keinesfalls sollte hier ein Crashkurs stattfinden.
Jetzt zu Deinen Fragen:
Zitat von ansolut
Wenn ich nun eine Verbindung von ZoneA nach ZoneB aufbauen möchte, müsste laut Aussage von Cisco diese Kommukation nicht dem Regelwerk unterliegen da ich von einer 100% Zone nach 50% Zone kommuniziere. Ist das Richtig?
|
Ich kenne diese Aussage zwar nicht, aber ich denke zu wissen, was CISCO damit ausdrücken möchte. Wenn Du von einer vertrauenswürdigen Zone zu einer weniger vertrauenswürdigen Zone eine Verbindung aufbaust, reicht dazu nat/global und Du brauchst, sofern Du keine access-group an das interface bindest, keine Regel zu erstellen.
Zitat von ansolut
Weiterhin stellt sich für mich die Frage ob ich dann überhaubt einen Rückweg (Regelwerk) von ZoneB in die ZoneA definieren müsste (da Session von A bereits initiiert wurde). Hierbei geht es um eine Voice UDP Verbindung. Wird auch bei UDP eine Session in der ASA für eine gewissen Zeit offengehalten?
|
Hier möchte ich Dich auf
Stateful Packet Inspection – Wikipedia verweisen. Dass die Verbindung auch für udp eine gewisse Zeit offen gehalten wird, erkennt man doch auch schon an der config
Code:
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
Ich hoffe, damit Deine Fragen genügend beantwortet zu haben.
