Whistleblower 45 Geschrieben 20. Oktober 2008 Melden Teilen Geschrieben 20. Oktober 2008 Hi, ich teste derzeit IP Inspect auf einem 1751 auf Praxistauglichkeit mit neuen Anwendungen... Dabei ist mir aufgefallen, dass es scheinbar nicht so ohne weiteres möglich ist, CBAC einfach wieder zu deaktivieren. Begonnen habe ich mit einer recht übersichtlichen Konfig in der über erweiterte ACLs der Zugriff von Clients aufs Internet möglich war. Anschließend habe ich IP-inspect Regeln erstellt: ip inspect name internet http ip inspect name internet https ip inspect name internet ftp ... und diese auf das interne Interface gebunden: interface FastEth 0/0 ip inspect internet in Soweit ging auch noch alles. Wenn ich jetzt anschließend ip inspect auf dem Interface wieder deaktiviere, komme ich nicht mehr ins Netz, selbst dann nicht, wenn ich einen Reload mache. Auch das komplette Löschen des Regelsatzes bringt keine Besserung. Schreibt sich der Router die dynamisch erstellen ACLs irgendwo permanent weg, dass sie selbst nach Reboot noch erhalten sind? Wenn ich sie nach Reboot wieder erstelle und aufs IF binde, geht auch wieder alles.... :confused: Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 20. Oktober 2008 Melden Teilen Geschrieben 20. Oktober 2008 Meinst du nicht das du grundsaetzlich einen Fehler in der Config (ohne inspect) hast? Posten? Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 20. Oktober 2008 Autor Melden Teilen Geschrieben 20. Oktober 2008 Hier folgt die Konfig (gekürzt): hostname router ! boot-start-marker boot-end-marker ! no logging buffered logging console critical enable secret xxx enable password xxx ! aaa new-model ! ! aaa authentication login default local aaa authentication login remoteaccess local aaa authorization exec default local ! aaa session-id common memory-size iomem 15 clock timezone CET 1 clock summer-time CEST recurring clock save interval 24 no ip source-route ip cef ! ! ip inspect name internet http ip inspect name internet https ip inspect name internet ftp ip tcp synwait-time 10 ! ! ip tftp source-interface FastEthernet0/0 no ip bootp server ip name-server 194.25.2.129 ip name-server 217.237.149.205 ip name-server 217.237.151.51 ip ssh authentication-retries 2 vpdn enable ! ! ! username xyz privilege 15 secret xyz ! ! ! ! interface Null0 no ip unreachables ! interface Ethernet0/0 no ip address ip nat outside no ip virtual-reassembly full-duplex pppoe enable group global pppoe-client dial-pool-number 1 ! interface FastEthernet0/0 description LAN_inside$FW_INSIDE$ ip address 10.50.1.1 255.255.255.0 ip access-group inside_rule out no ip redirects no ip unreachables no ip proxy-arp ip inspect internet in ip nat inside ip virtual-reassembly ip tcp adjust-mss 1300 no ip mroute-cache speed auto ! interface Dialer1 description dsl_flat$FW_OUTSIDE$ bandwidth 16000 ip address negotiated ip access-group outside_rule in no ip redirects no ip proxy-arp ip mtu 1492 ip nat outside no ip virtual-reassembly encapsulation ppp no ip route-cache cef no ip route-cache no ip mroute-cache dialer pool 1 dialer-group 1 no cdp enable ppp authentication chap pap callin ppp chap hostname xxxxx ppp chap password xxxxx crypto map staticmap ! ip route 0.0.0.0 0.0.0.0 Dialer1 ! no ip http server no ip http secure-server ip http secure-port 50443 ip nat inside source route-map SDM_RMAP_1 interface Dialer1 overload ! ip access-list extended NAT_rule remark Alles andere natten permit ip 10.50.0.0 0.0.255.255 any ip access-list extended inside_rule permit udp any eq domain any deny ip any any ip access-list extended mgmt_rule remark VTY Access-class list permit ip 10.50.0.0 0.0.255.255 any log deny ip any any ip access-list extended outside_rule permit udp host 194.25.2.129 eq domain any remark ### NTP-Server ### permit udp host 192.53.103.104 eq ntp host 80.153.147.221 eq ntp permit udp host 192.53.103.108 eq ntp host 80.153.147.221 eq ntp deny ip any any log ! kron occurrence Zwangstrennung at 6:00 recurring policy-list Zwangstrennung ! kron policy-list Zwangstrennung cli clear interface dialer1 cli clear crypto sa cli clear crypto session ! access-list 1 remark INSIDE_IF=FastEthernet0/0 access-list 1 remark SDM_ACL Category=2 access-list 1 permit 10.50.0.0 0.0.255.255 access-list 2 remark SDM_ACL Category=2 access-list 2 permit 10.50.0.0 0.0.255.255 no cdp run route-map SDM_RMAP_1 permit 1 match ip address NAT_rule ! ! control-plane ! ! line con 0 logging synchronous transport output telnet line aux 0 transport output telnet line vty 0 4 session-timeout 60 access-class mgmt_rule in logging synchronous transport input ssh ! scheduler max-task-time 5000 scheduler allocate 4000 1000 scheduler interval 500 ntp clock-period 17180133 ntp server 192.53.103.108 source Dialer1 ntp server 192.53.103.104 source Dialer1 end Vielleicht bin ich auch nur grad zu blind und hab mir irgendnen Fehler wieder eingebaut... :rolleyes: Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 20. Oktober 2008 Melden Teilen Geschrieben 20. Oktober 2008 das liegt an deinen ACLs, die werden ja erst weniger restriktiv wenns ip inspect die ACLs erweitert Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 21. Oktober 2008 Autor Melden Teilen Geschrieben 21. Oktober 2008 das liegt an deinen ACLs, die werden ja erst weniger restriktiv wenns ip inspect die ACLs erweitert Hm, stimmt, da war ich wieder auf allen Augen blind... :rolleyes: War mir eigentlich sicher, dass in der ursprünglichen Konfig ip inspect nicht auf dem Dialer aktiv war ... Kein Wunder - hab auch zuletzt nur die Konfig von eth0/0 überprüft, und nicht den Dialer... Ich brauch Urlaub! ;-) Trotzdem danke!!! Eine Ungereimtheit habe ich allerdings noch - Downloads dauern über die letzte Konfig ewig (ca. ISDN-Tempo am 6 MBit-Anschluss). Werde mir da aber die Konfig erst nochmal genauer anschauen, evtl. liegts auch wieder am alten Ethernet-IF, was nicht so befriedigend an Autosense Modems läuft... UPDATE: Okay, der Fehler lag wie vermutet an der 10MB/FD-Einstellung des Ethernet0 Interfaces... Mit Half-Duplex habe ich jetzt keine CRC-Fehler mehr, dafür massenhaft Collisions, aber es ist erstmal schneller... Habe aber jetzt dennoch eine Frage zum Thema Ip Inspect: Die Regeln ip inspect name ethernet_0 tcp router-traffic ip inspect name ethernet_0 ftp ip inspect name ethernet_0 udp ip inspect name ethernet_0 realaudio ip inspect name ethernet_0 h323 ip inspect name ethernet_0 h323callsigalt ip inspect name ethernet_0 h323gatestat ip inspect name ethernet_0 fragment maximum 256 timeout 1 ip inspect name ethernet_0 sip-tls ip inspect name ethernet_0 sip ip inspect name ethernet_0 pptp Beinhalten doch nicht explizit http-Verkehr (oder tcp), warum wird er dennoch durchgelassen? Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 21. Oktober 2008 Melden Teilen Geschrieben 21. Oktober 2008 hast evtl. nochmal an den ACL rumgeschraubt ? is nie schlecht wenn du die beteiligten Interfaces und die ACLs postest. Bei inspect muss man genau aufpassen wo und in welche Richtung jetzt was gesetzt wurde und bei sh ip inspect sessions sollte man dazu auch sehen können ob der Verkehr durchs inspect durch kann oder nicht Zitieren Link zu diesem Kommentar
Whistleblower 45 Geschrieben 21. Oktober 2008 Autor Melden Teilen Geschrieben 21. Oktober 2008 Hat sich eigentlich nichts geändert: ip inspect name ethernet_0 tcp router-traffic ip inspect name ethernet_0 ftp ip inspect name ethernet_0 udp ip inspect name ethernet_0 realaudio ip inspect name ethernet_0 h323 ip inspect name ethernet_0 h323callsigalt ip inspect name ethernet_0 h323gatestat ip inspect name ethernet_0 sip ip inspect name ethernet_0 sip-tls ip inspect name ethernet_0 fragment maximum 256 timeout 1 ip inspect name ethernet_0 pptp interface Ethernet0/0 no ip address ip nat outside no ip virtual-reassembly half-duplex pppoe enable group global pppoe-client dial-pool-number 1 end interface FastEthernet0/0 description LAN_inside$FW_INSIDE$ ip address 10.50.1.1 255.255.255.0 ip access-group inside_rule out no ip redirects no ip unreachables no ip proxy-arp ip inspect ethernet_0 in ip nat inside ip virtual-reassembly ip tcp adjust-mss 1300 no ip mroute-cache speed auto end interface Dialer1 description dsl_flat$FW_OUTSIDE$ bandwidth 6000 ip address negotiated ip access-group outside_rule in no ip redirects no ip proxy-arp ip mtu 1492 ip nat outside no ip virtual-reassembly encapsulation ppp no ip route-cache cef no ip route-cache no ip mroute-cache dialer pool 1 dialer-group 1 no cdp enable ppp authentication chap pap callin ppp chap hostname xxx ppp chap password xxx crypto map staticmap end und noch mal die ACLs: ip access-list extended NAT_rule remark Alles andere natten permit ip 10.50.0.0 0.0.255.255 any ip access-list extended inside_rule permit udp any eq domain any deny ip any any ip access-list extended mgmt_rule remark VTY Access-class list permit ip 10.50.0.0 0.0.255.255 any log deny ip any any ip access-list extended outside_rule permit udp host 194.25.2.129 eq domain any remark ### NTP-Server ### permit udp host 192.53.103.104 eq ntp host 80.153.147.221 eq ntp permit udp host 192.53.103.108 eq ntp host 80.153.147.221 eq ntp deny ip any any log Reboot bringt keine Änderung. show ip inspect sessions sieht dann z.B. so aus: sh ip inspect sessions Established Sessions Session 82A56C1C (10.50.1.50:1154)=>(74.125.39.164:80) tcp SIS_OPEN Session 82A5739C (10.50.1.50:61488)=>(194.25.2.129:53) udp SIS_OPEN Session 82A56E9C (10.50.1.50:57253)=>(194.25.2.129:53) udp SIS_OPEN Also einmal die http-Session und zwei DNS-Anfragen... Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.