|
PIX/ASA, fixup/inspect
Soweit ich das glaube verstanden zu haben, ist das command fixup durch inspect ersetzt worden. Konnte ich früher beim fixup weitere Ports hinter dem Protokoll angeben, (fixup ftp 21, 3333) so geht das mit dem inspect nicht direkt so. Und hier hakt es bei mir mir...
Folgendes Szenario: wir benötigen eine ftp-Verbindung von A nach B über Port 3333 im passive mode. Dazu habe ich eine ACL, die den traffic von A nach B über tcp/3333 erlaubt. Gibt B mir aber jetzt den Antwort Port für den passive-mode (>1023) mit, wird der natürlich durch die ACL geblockt. Da ich nicht alles über 1023 aufmachen möchte, muss ich doch definieren können, dass die ASA für diese Verbindung den Antwort Port dynamisch aufmacht. Versucht habe ich dies über eine class-map. Leider hat dies nicht geklappt.
Bin ich da auf dem Holzweg oder habe ich ggf. die class map nicht richtig definiert? Wenn ja, hat jemand ein sample?
|
