OT: Reflexivní access listy v Cisco routeru

Pavel Troller patrol@sinus.cz
Čtvrtek Duben 24 22:43:30 CEST 2008


Zdravím,
  mám tu dotaz na Cisco experty - jistě zde nějací budou :-).
  Zjistil jsem, že moje 3600 má problém zařadit na reflexivní access list
provoz, který je v ní interně generován. Používám způsob, kdy accesslisty
visí na vnějším rozhraní. Vše funguje perfektně, pokud relace přijde do
routeru z LAN - pak se do toho refl. listu zapíše a dočasně se povolí
zpětný tok paketů. Avšak pokud vznikne relace přímo uvnitř routeru, tak se
do toho access-listu nezařadí a tedy jsou příchozí pakety relace blokovány.
Potřebuji to proto, že ta mašina dělá SIP Gateway a nechci, aby si někdo
zvenčí otevíral vlastní relace a proto chci příchozí SIP pakety blokovat,
právě s výjimkou těch pro relace iniciované samotným routerem.
  Platí to pro jakýkoliv provoz, když z toho zkusím navázat třeba telnet,
taky se to nechytá a na cílovém stroji to vypadá legračně - tcpdump
ukazuje, že mu současně přichází SYNy z routeru a ICMP Access Prohibited
na jeho odpovědi na ně. A v tom dočasném accesslistu ta relace není.
  Jde o IOS 12.3(21), verze C3620-IK9O3S6-M.
  Jde o bug, feature či jen špatnou konfiguraci ?
    S pozdravem Pavel Troller



Další informace o konferenci Hw-list