Έχω φτιάξει ένα zone firewall το οποίο σχετικά με τη ζώνη μεταξύ του ρούτερ και του WAN έχει το παρακάτω configuration.



class-map type inspect match-any Router-to-WAN-Inspection
description --- Inspection of traffic from the Router to WAN ---
match protocol tcp
match protocol udp

policy-map type inspect Router-to-WAN-Firewall-Policy
description --- Firewall Policy: Router->WAN ---
class type inspect Router-to-WAN-Inspection
inspect
class class-default
pass log

policy-map type inspect WAN-to-Router-Firewall-Policy
description --- Firewall Policy: WAN->Router ---
class class-default
pass log


Με αυτό το configuration δεν μπορώ να κάνω telnet στον ρούτερ απο κάποιον υπολογιστή εκτός του LAN μου. Πως θα έπρεπε να αλλάξω αυτό το configuration ώστε να μπορώ να κάνω telnet; Δοκίμασα το παρακάτω αλλά δεν δουλεύει. Τι κάνω λάθος;



class-map type inspect match-any WAN-to-Router-Allowed-Traffic
description --- Traffic allowed to reach the Router from the WAN ---
match protocol telnet
match protocol icmp
match protocol tcp
match protocol udp

policy-map type inspect WAN-to-Router-Firewall-Policy
description --- Firewall Policy: WAN->Router ---
class type inspect WAN-to-Router-Allowed-Traffic
pass log
class class-default
drop log

Φίλε paspro η zone-based security διαφέρει στη λογική της από την interface-based αρκετά. Πρέπει να δημιουργήσεις security zones και στη συνέχεια να αναθέσεις interfaces σε κάθε zone. Η επικοινωνία ανάμεσα σε interfaces που ανήκουν στο ίδιο zone είναι ελεύθερη αλλά το traffic από και προς το zone κόβεται by default. Για να επιτραπεί η επικοινωνία μεταξύ διαφορετικών zones πρέπει να δημιουργήσεις zone-pairs και τα αντίστοιχα inspection rules. Επίσης έχε υπόψιν σου ότι δεν μπορούν να επικοινωνήσουν interfaces που δεν ανήκουν σε κάποια ζώνη με interfaces που είναι μέλη κάποιας ζώνης (στον ίδιο router πάντα).

Χρήσιμο link για μελέτη:
http://www.cisco.com/en/US/products/ps6441/products_feature_guide09186a008060f6dd.html#wp1047657

Θα βοηθούσε αν ανέβαζες ολόκληρο το configuration.

Ok, βρήκα πως γίνεται. Η ιδιαιτερότητα της περίπτωσης αυτής είναι ότι:

Application Inspection is not available for self-zone policies. (http://www.cisco.com/en/US/products/sw/secursw/ps1018/products_tech_note09186a00808bc994.shtml)

Έτσι η λύση είναι η παρακάτω:



class-map type inspect match-any Router-Inspection
description --- Inspection of Router traffic ---
match protocol icmp
match protocol tcp
match protocol udp

class-map type inspect match-all WAN-to-Router-Allowed-Traffic
description --- Traffic allowed to enter the Router from the WAN ---
match class-map Router-Inspection
match access-group name To-Router

ip access-list extended To-Router
remark --- Traffic allowed to enter the Router initiated from the WAN ---
permit icmp any any echo
permit tcp any any eq 23

policy-map type inspect Router-to-WAN-Firewall-Policy
description --- Firewall Policy: Router->WAN ---
class type inspect Router-Inspection
inspect
class class-default
pass log

policy-map type inspect WAN-to-Router-Firewall-Policy
description --- Firewall Policy: WAN->Router ---
class type inspect WAN-to-Router-Allowed-Traffic
inspect
class class-default
pass log