Hallo zusammen,
Ich habe aktuell in meiner Firewall folgende Regeln hinterlegt:
access-list 101 remark Traffic vom Internet zum Router
access-list 101 permit udp any eq domain any
access-list 101 permit icmp any any unreachable
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any packet-too-big
access-list 101 permit icmp any any time-exceeded
access-list 101 permit icmp any any traceroute
access-list 101 permit icmp any any administratively-prohibited
access-list 101 deny ip any any log
ip inspect name fw-out dns
ip inspect name fw-out http
ip inspect name fw-out https
ip inspect name fw-out ftp
ip inspect name fw-out icmp
ip inspect name fw-out h323
ip inspect name fw-out realaudio
ip inspect name fw-out streamworks
ip inspect name fw-out netshow
ip inspect name fw-out smtp
ip inspect name fw-out pop3
ip inspect name fw-out ntp
Beide Regelsätze sind dem Interface Dialer 1 zugeordnet:
interface Dialer1
ip access-group 101 in
ip inspect fw-out out
...
Ich möchte nun gerne mit einem lokalen Cisco-VPN-Client auf das Netzwerk eines Unternehmens zugreifen können, ohne dass ich zusätzlich die Rule "ip inspect name fw-out udp" einsetzen muss.
Der Cisco VPN-Client benötigt nach meinem Wissen nur die UPD Ports 500 und 4500.
Das Öffnen aller UDP-Protokolle halte ich für ein vermeidbares Sicherheitsloch, welches ich gerne mittels einer speziellen Inspect-Rule umgehen möchte.
Gibt es eine Möglichkeit, nur diese beiden UDP-Ports in Form eines Stateful-Filters zu öffnen.
Ich konnte für diese beiden Ports bisher keine Inspect-Rule ableiten, welche nur diese Ports öffnet.
Bereits jetzt vielen Dank für eure Hilfe...
Cisco User
Inspect UDP Port 500/4500
