Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Cisco IOS SPI FW (ipv6 inspect) spielt verrückt
6 views
Skip to first unread message
Marco Moock
Aug 11, 2023, 2:48:44 PM8/11/23
to
Hallo zusammen!
Ich kann gerade auf einem Cisco-Router beobachten, dass das Verhalten
der SPI-FW sehr, sehr komisch ist.
Ich habe nur die inspect-Kommandos aktiv, noch keine ACL. Erstmal
zeichnet der nur die Sessions auf, blockiert aber nichts, was erstmal
so sein soll.
ipv6 inspect name spi-fw ftp
ipv6 inspect name spi-fw icmp
ipv6 inspect name spi-fw tcp
ipv6 inspect name spi-fw udp
Und dann WAR im dialer0
ipv6 inspect spi-fw out
aktiv.
Da hat er den Traffic ausgehend auch getrackt, aber nicht den vom VLAN1.
Nachdem ich im interface vlan1 ipv6 inspect spi-fw in aktiviert hatte
und wieder gelöscht, ging es plötzlich.
Jetzt habe ich testweise den Eintrag im Dialer0 gelöscht und der trackt
die Sessions noch immer - incl. vlan1 - obwohl nichts mehr konfiguriert
ist (außer der Definition, was spi-fw alles inspizieren soll).
Das ist irgendwie sehr, sehr komisch und für mich nicht nachvollziehbar.
IOS ist c800-universalk9-mz.SPA.159-3.M7.bin und damit die neueste
Version.
Im Packettracer ist mir das nicht aufgefallen, obwohl der natürlich
keine richtige Referenz ist.
Ich habe noch einen 886va und 886w, wo ich mal testen könnte, die haben
aber ein anderes Image (880) und daher ggf. anderes Verhalten.
--
Gruß
Marco
Ich kann gerade auf einem Cisco-Router beobachten, dass das Verhalten
der SPI-FW sehr, sehr komisch ist.
Ich habe nur die inspect-Kommandos aktiv, noch keine ACL. Erstmal
zeichnet der nur die Sessions auf, blockiert aber nichts, was erstmal
so sein soll.
ipv6 inspect name spi-fw ftp
ipv6 inspect name spi-fw icmp
ipv6 inspect name spi-fw tcp
ipv6 inspect name spi-fw udp
Und dann WAR im dialer0
ipv6 inspect spi-fw out
aktiv.
Da hat er den Traffic ausgehend auch getrackt, aber nicht den vom VLAN1.
Nachdem ich im interface vlan1 ipv6 inspect spi-fw in aktiviert hatte
und wieder gelöscht, ging es plötzlich.
Jetzt habe ich testweise den Eintrag im Dialer0 gelöscht und der trackt
die Sessions noch immer - incl. vlan1 - obwohl nichts mehr konfiguriert
ist (außer der Definition, was spi-fw alles inspizieren soll).
Das ist irgendwie sehr, sehr komisch und für mich nicht nachvollziehbar.
IOS ist c800-universalk9-mz.SPA.159-3.M7.bin und damit die neueste
Version.
Im Packettracer ist mir das nicht aufgefallen, obwohl der natürlich
keine richtige Referenz ist.
Ich habe noch einen 886va und 886w, wo ich mal testen könnte, die haben
aber ein anderes Image (880) und daher ggf. anderes Verhalten.
--
Gruß
Marco
0 new messages