Сообщения без ответов | Активные темы Текущее время: 29 мар 2024, 18:02



Ответить на тему  [ Сообщений: 2 ] 
ACL established, related 
Автор Сообщение

Зарегистрирован: 30 июн 2016, 11:38
Сообщения: 68
Доброго времени суток.
Изучаю ACL, и мне кажется, что в IOS, как обычно, все слегка перемудрено. Ну или я плебей.
В общем, всегда использовал параметры ESTABLISHED и RELATED модуля conntrack для TCP и UDP трафика соответственно. Ну это, например, в классической nix системе с netfilter (iptables), или там в VyOS (где, собственно, тоже iptables).
И вот, как я понимаю, в IOS параметр established явно не покрывает обычных нужд (только TCP), т.е., вероятно, единственным решением являются reflexive acl. Но настройка выглядит довольно громоздкой, особенно в случае каких-то гранулярных правил, а не просто "permit ip any_lan any_wan". Это то решение, которое используется обычно?
Кажется, "ip inspect" имеет к этому отношение, но я не совсем понял, как это работает относительно ACL. Сначала проверяется inspect, т.е. относится ли трафик к ESTABLISHED или RELATED, а потом, если трафик не "удовлетворил", проверяется ACL?


23 окт 2017, 12:03
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 2111
Все о чем ты пишешь - это олдскул убогий.
TCP флаги актуальны разве что для хардварных коммутаторов.

stateful firewall в ios настраивается посредством zone based firewall. Читай про него.


23 окт 2017, 17:04
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 2 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 78


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB