Inspect UDP Port 500/4500

[Cisco User 10]

Hallo zusammen,

 

Ich habe aktuell in meiner Firewall folgende Regeln hinterlegt:

 

access-list 101 remark Traffic vom Internet zum Router

access-list 101 permit udp any eq domain any

access-list 101 permit icmp any any unreachable

access-list 101 permit icmp any any echo-reply

access-list 101 permit icmp any any packet-too-big

access-list 101 permit icmp any any time-exceeded

access-list 101 permit icmp any any traceroute

access-list 101 permit icmp any any administratively-prohibited

access-list 101 deny ip any any log

 

ip inspect name fw-out dns

ip inspect name fw-out http

ip inspect name fw-out https

ip inspect name fw-out ftp

ip inspect name fw-out icmp

ip inspect name fw-out h323

ip inspect name fw-out realaudio

ip inspect name fw-out streamworks

ip inspect name fw-out netshow

ip inspect name fw-out smtp

ip inspect name fw-out pop3

ip inspect name fw-out ntp

 

Beide Regelsätze sind dem Interface Dialer 1 zugeordnet:

 

interface Dialer1

ip access-group 101 in

ip inspect fw-out out

...

 

Ich möchte nun gerne mit einem lokalen Cisco-VPN-Client auf das Netzwerk eines Unternehmens zugreifen können, ohne dass ich zusätzlich die Rule "ip inspect name fw-out udp" einsetzen muss.

Der Cisco VPN-Client benötigt nach meinem Wissen nur die UPD Ports 500 und 4500.

 

Das Öffnen aller UDP-Protokolle halte ich für ein vermeidbares Sicherheitsloch, welches ich gerne mittels einer speziellen Inspect-Rule umgehen möchte.

 

Gibt es eine Möglichkeit, nur diese beiden UDP-Ports in Form eines Stateful-Filters zu öffnen.

Ich konnte für diese beiden Ports bisher keine Inspect-Rule ableiten, welche nur diese Ports öffnet.

 

Bereits jetzt vielen Dank für eure Hilfe...:)

 

Cisco User