Cisco User 10 Geschrieben 5. März 2009 Melden Teilen Geschrieben 5. März 2009 Hallo zusammen, Ich habe aktuell in meiner Firewall folgende Regeln hinterlegt: access-list 101 remark Traffic vom Internet zum Router access-list 101 permit udp any eq domain any access-list 101 permit icmp any any unreachable access-list 101 permit icmp any any echo-reply access-list 101 permit icmp any any packet-too-big access-list 101 permit icmp any any time-exceeded access-list 101 permit icmp any any traceroute access-list 101 permit icmp any any administratively-prohibited access-list 101 deny ip any any log ip inspect name fw-out dns ip inspect name fw-out http ip inspect name fw-out https ip inspect name fw-out ftp ip inspect name fw-out icmp ip inspect name fw-out h323 ip inspect name fw-out realaudio ip inspect name fw-out streamworks ip inspect name fw-out netshow ip inspect name fw-out smtp ip inspect name fw-out pop3 ip inspect name fw-out ntp Beide Regelsätze sind dem Interface Dialer 1 zugeordnet: interface Dialer1 ip access-group 101 in ip inspect fw-out out ... Ich möchte nun gerne mit einem lokalen Cisco-VPN-Client auf das Netzwerk eines Unternehmens zugreifen können, ohne dass ich zusätzlich die Rule "ip inspect name fw-out udp" einsetzen muss. Der Cisco VPN-Client benötigt nach meinem Wissen nur die UPD Ports 500 und 4500. Das Öffnen aller UDP-Protokolle halte ich für ein vermeidbares Sicherheitsloch, welches ich gerne mittels einer speziellen Inspect-Rule umgehen möchte. Gibt es eine Möglichkeit, nur diese beiden UDP-Ports in Form eines Stateful-Filters zu öffnen. Ich konnte für diese beiden Ports bisher keine Inspect-Rule ableiten, welche nur diese Ports öffnet. Bereits jetzt vielen Dank für eure Hilfe...:) Cisco User Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.