nokogerra
Зарегистрирован: 30 июн 2016, 11:38 Сообщения: 68
|
Доброго времени суток. Изучаю ACL, и мне кажется, что в IOS, как обычно, все слегка перемудрено. Ну или я плебей. В общем, всегда использовал параметры ESTABLISHED и RELATED модуля conntrack для TCP и UDP трафика соответственно. Ну это, например, в классической nix системе с netfilter (iptables), или там в VyOS (где, собственно, тоже iptables). И вот, как я понимаю, в IOS параметр established явно не покрывает обычных нужд (только TCP), т.е., вероятно, единственным решением являются reflexive acl. Но настройка выглядит довольно громоздкой, особенно в случае каких-то гранулярных правил, а не просто "permit ip any_lan any_wan". Это то решение, которое используется обычно? Кажется, "ip inspect" имеет к этому отношение, но я не совсем понял, как это работает относительно ACL. Сначала проверяется inspect, т.е. относится ли трафик к ESTABLISHED или RELATED, а потом, если трафик не "удовлетворил", проверяется ACL?
|
P@ve1
Зарегистрирован: 01 янв 1970, 03:00 Сообщения: 2111
|
Все о чем ты пишешь - это олдскул убогий. TCP флаги актуальны разве что для хардварных коммутаторов.
stateful firewall в ios настраивается посредством zone based firewall. Читай про него.
|