hegl 10 Geschrieben 7. Dezember 2007 Melden Geschrieben 7. Dezember 2007 Soweit ich das glaube verstanden zu haben, ist das command fixup durch inspect ersetzt worden. Konnte ich früher beim fixup weitere Ports hinter dem Protokoll angeben, (fixup ftp 21, 3333) so geht das mit dem inspect nicht direkt so. Und hier hakt es bei mir mir... Folgendes Szenario: wir benötigen eine ftp-Verbindung von A nach B über Port 3333 im passive mode. Dazu habe ich eine ACL, die den traffic von A nach B über tcp/3333 erlaubt. Gibt B mir aber jetzt den Antwort Port für den passive-mode (>1023) mit, wird der natürlich durch die ACL geblockt. Da ich nicht alles über 1023 aufmachen möchte, muss ich doch definieren können, dass die ASA für diese Verbindung den Antwort Port dynamisch aufmacht. Versucht habe ich dies über eine class-map. Leider hat dies nicht geklappt. Bin ich da auf dem Holzweg oder habe ich ggf. die class map nicht richtig definiert? Wenn ja, hat jemand ein sample?
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden