maccros 10 Geschrieben 13. Januar 2008 Melden Teilen Geschrieben 13. Januar 2008 hallo auch! Kann auf einem 1800er Router mittels Inspect-Policy GRE-Verkehr inspiziert werden? Merci maccros Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 14. Januar 2008 Melden Teilen Geschrieben 14. Januar 2008 Du meinst den Inhalt von GRE-Paketen? Klar! Wennst am Tunnel-IF nicht gehen sollte (habs bisher noch nicht getestet) dann am ETH halt in die andere Richtung. Zitieren Link zu diesem Kommentar
maccros 10 Geschrieben 14. Januar 2008 Autor Melden Teilen Geschrieben 14. Januar 2008 Die Problematik im Detail sieht volgendermassen aus. Der Router wird als Internet-Gateway mit zustandsorientierter Firewall eingesetz. Wan Fe0/0 (Cable-Internet) AccessRule - Inbound -> Alles geblockt bis auf ein paar Nebensächlichkeiten Lan Fe0/1 AccessRule - Inbound -> Alles durchgelassen bis auf ein paar Nebensächlichkeiten InspectRule - Inbound -> TCP, UDP, ICMP, FTP (also eigentlich alles durch) Mit einem PC aus dem Lan ins Internet, funzt alles prächtig. Versuche ich aber einen PPTP-Tunnel von einem PC aus (Server im Wan) zu öffnen funktioniert das nicht, im Log finde ich den Eintrag: information: Jan blabla list 100 denied gre xxx.xxx.xxx.xxx -> xxx.xxx.xxx.xxx, 1 packet ...wenn ich dann in der Inbound - AccessRule vom Fe0/0 gre passieren lasse funktioniert alles bestens... access-list 100 permit gre any any Da die ganze Firewall aber zustandsorientiert aufgebaut ist stört mich diese Regel in der Access-List. Bestünde aber die Möglichkeit gre-Pakete zu inspizieren (zb. auf Grund der Protokollnumer) kann ich den Eintrag entfernen und das connection tracking übernimmt diese Aufgabe. Zitieren Link zu diesem Kommentar
Otaku19 33 Geschrieben 15. Januar 2008 Melden Teilen Geschrieben 15. Januar 2008 könntest du vielleicht die relevanten Configteile posten ? Zitieren Link zu diesem Kommentar
Wordo 11 Geschrieben 15. Januar 2008 Melden Teilen Geschrieben 15. Januar 2008 Dazu ist ein PPTP VPN doch da? Traffic verschluesselt ueber die Leitung (und auch den Router) zu schicken. Wenn du das nicht willst musst du auf dem Router die VPNs terminieren lassen und dann am internen Interface ein Inspect auf outbound machen. Zitieren Link zu diesem Kommentar
maccros 10 Geschrieben 16. Januar 2008 Autor Melden Teilen Geschrieben 16. Januar 2008 Ich stell vieleicht die Frage nochmal... Kann auf einem 1800er Router mittels Inspect-Policy GRE-Verkehr inspiziert werden? Es geht darum das der PPTP-Tunel auf dem PC hinter der Firewall terminiert wird, und aber die Firewall das Antowrt-GRE-Paket dropt weil die InspectRule das ausgehene Paket nicht Inspiziert, und daduch nicht in die ConnectionTracking-Tabelle einträgt. ...oder, Frage anders gestellt: Giebt es einen Eintrag um jeden möglichen Verkehr zu Inspizieren? Zitieren Link zu diesem Kommentar
maccros 10 Geschrieben 16. Januar 2008 Autor Melden Teilen Geschrieben 16. Januar 2008 hi Otaku19 Anbei die relevanten Configteile. Eigentlich möchte ich mit der "myInspectDefault" den GRE Verkehr auch inspizieren können. Alternativ wäre auch das Inspizieren des ganzen Verkehrs interessant... ======================================================== ip inspect name myInspectDefault icmp ip inspect name myInspectDefault tcp ip inspect name myInspectDefault udp ip inspect name myInspectDefault ftp interface FastEthernet0/0 description WAN - Internet ip access-group 100 in interface FastEthernet0/1 description LAN ip access-group 101 in ip inspect myInspectDefault in access-list 100 permit gre any any access-list 100 permit udp any eq bootps any eq bootpc access-list 100 permit udp host 91.138.126.128 eq domain any access-list 100 permit udp host 91.138.1.128 eq domain any access-list 100 permit icmp any any echo-reply access-list 100 permit icmp any any time-exceeded access-list 100 permit icmp any any unreachable access-list 100 deny ip 10.0.0.0 0.255.255.255 any access-list 100 deny ip 172.16.0.0 0.15.255.255 any access-list 100 deny ip 192.168.0.0 0.0.255.255 any access-list 100 deny ip 127.0.0.0 0.255.255.255 any access-list 100 deny ip host 0.0.0.0 any access-list 100 deny ip host 255.255.255.255 any access-list 100 deny ip any any log access-list 101 permit ip any 192.168.0.0 0.0.0.255 access-list 101 deny ip any 10.0.0.0 0.255.255.255 access-list 101 deny ip any 172.16.0.0 0.15.255.255 access-list 101 deny ip any 192.0.0.0 0.0.255.255 access-list 101 deny ip 127.0.0.0 0.255.255.255 any access-list 101 permit ip host 0.0.0.0 any access-list 101 deny ip host 255.255.255.255 any access-list 101 permit ip any any ======================================================== merci maccros Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.