[ machiavelli @ 26.12.2006. 09:15 ] @
Deo konfiguracije cisco 831 rutera je sledeci:

ip inspect audit-trail
ip inspect udp idle-time 1800
ip inspect dns-timeout 7
ip inspect tcp idle-time 14400
ip inspect name autosec_inspect cuseeme timeout 3600
ip inspect name autosec_inspect ftp timeout 3600
ip inspect name autosec_inspect http timeout 3600
ip inspect name autosec_inspect rcmd timeout 3600
ip inspect name autosec_inspect realaudio timeout 3600
ip inspect name autosec_inspect smtp timeout 3600
ip inspect name autosec_inspect tftp timeout 30
ip inspect name autosec_inspect udp timeout 15
ip inspect name autosec_inspect tcp timeout 3600

Na spoljnjem interfejsu E1 je primenjena akcija: ip inspect autosec_inspect out

Od tada, nemoguce je iz lokala poslati mail (Relay access denied), mapiranje portova u NAT-u ne radi, web-gmail chat takodje, i ko zna sta josh :(

Nemam iskustva sa postavljanjem inspect pravila, zato sam i primenio pravila koja je generisao auto-secure, ali ocigledno definisana pravila ili smer i interfejs na kome su postavljena ne odgovaraju mojoj mrezi.

Iko iskusniji?

Pozdrav.
[ positive0 @ 13.01.2007. 15:35 ] @

Ne znam koliko je mudro oslanjati se na te auto operacije...ako bas ne znas sta svaka komanda znaci.

U sustini, uzrok problema sa inspect funkcijom slican onome koji postoji sa fixup funkcijom na PIX-u - podrzava samo standardnih 7 SMTP komandi.
Posto pretpostavljam da ti koristis Microsoft Exchange, ili ga koriste drugi serveri sa kojima komunicirate, koriste se nestandardne ESMTP komande. Svaka takva komanda (za pocetak i ona uvodna: EHLO) bice zato odbijena od firewall-a.
Posto nema sanse da se Microsoft konacno dogovori sam sa sobom oko seta komandi koji ce koristiti, mislim da je najbolje da za ovaj protokol ukines inspect, ili jos bolje, da ubijes kompletno sve to sto si dobio nakon primjene auto-secure opcije..

Onda lijepo uzmi pa prouci inspect funciju: http://www.cisco.com/en/US/pro...e_chapter09186a00804a41c5.html

pozdrav

[ machiavelli @ 15.01.2007. 11:50 ] @
Da. Ocigledno je to bilo u pitanju.

"CBAC can be configured to inspect SMTP but not ESMTP (Extended Simple Mail Transport Protocol). Configuring SMTP inspection is not useful for ESMTP, and it can cause problems."

Server sa koga preuzimamo postu salje ESMTP poruke koje ni ne stizu do mail klijenata.

positive0, hvala na odgovoru i linku.


Pozdrav.