Context-Based Access Control auf Cisco 871 Router anyone?
Hallo Zusammen,
vllt kann mir ein Cisco-Spezi hiermit weiterhelfen: ich möchte auf diesem Gerät stateful-firewalling per 'ip inspect ...' nutzen, aber bisher habe ich diese option nicht erfolgreich implementieren können. Ansonsten funktioniert alles, https-surfen und mail.
Die recht ausführliche cisco-infoseite geht zwar sehr detailliert darauf ein, aber trotzdem habe ich keine erfolgreiche cbac-config schreiben können -.-
https://www.cisco.com/en/US/products/sw/iosswrel/ps1835/products_configu ...
Meine LAN-Topologie:
<10.1.1.0/24>----[(vlan1)10.1.1.1-((Cisco871))-(fe4)192.168.0.11]------<192.168.0.0/24>-----[192.168.0.1-((ISP-Router))--(DHCP)] .... also doppel-nat...
Die Besonderheit in meinem Netz ist, dass ich im <lan> _kein_ DHCP nutze sowie _kein_lokales_ dns - sondern dns-over-https für web und mail.
Im Folgenden meine aktuelle config mit stateless-filterung per access-listen, ohne 'ip inspect':
ROM: System Bootstrap, Version 12.3(8r)YI4, RELEASE SOFTWARE
ROM: Cisco IOS Software, C870 Software (C870-ADVIPSERVICESK9-M), Version 12.3(8)YI2, RELEASE SOFTWARE (fc1)
!
version 12.3
no parser cache
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
no service timestamps debug uptime
no service timestamps log uptime
service password-encryption
no service dhcp
!
hostname krauter
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 10 log
security passwords min-length 6
logging buffered 4096 debugging
logging console critical
enable secret 5 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
enable password 7 xxxxxxxxxxxxxxxxxxxxxxxxx
!
username xxxxxxxxxxxxx password 7 xxxxxxxxxxxxxxxxxxxxxxxxxxxx
aaa new-model
!
aaa authentication login local_auth local
aaa session-id common
ip subnet-zero
no ip source-route
no ip gratuitous-arps
ip cef
!
no ip bootp server
ip ips po max-events 100
login block-for 99 attempts 3 within 99
no ipv6 source-route
no ftp-server write-enable
!
interface FastEthernet0
no ip address
no cdp enable
!
interface FastEthernet1
switchport access vlan 10
no ip address
shutdown
no cdp enable
!
interface FastEthernet2
switchport access vlan 10
no ip address
shutdown
no cdp enable
!
interface FastEthernet3
switchport access vlan 20
no ip address
shutdown
no cdp enable
!
interface FastEthernet4
ip address 192.168.0.11 255.255.255.0
ip access-group WANin in
ip access-group WANout out
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
ntp disable
no cdp enable
!
interface Vlan1
ip address 10.1.1.1 255.255.255.0
ip access-group LANout out
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ntp disable
!
interface Vlan10
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
!
ip classless
no ip forward-protocol nd
no ip forward-protocol udp
ip route 0.0.0.0 0.0.0.0 192.168.0.1
!
no ip http server
no ip http secure-server
ip nat inside source list LANnat interface FastEthernet4 overload
!
ip access-list extended LANnat
deny ip 10.1.1.0 0.0.0.255 host 10.1.1.1
deny ip 10.1.1.0 0.0.0.255 192.168.0.0 0.0.255.255
permit tcp 10.1.1.0 0.0.0.255 any eq 443
permit tcp 10.1.1.0 0.0.0.255 any eq 995
permit tcp 10.1.1.0 0.0.0.255 any eq 465
deny ip any any
ip access-list extended LANout
deny ip 192.168.0.0 0.0.255.255 10.1.1.0 0.0.0.255
permit tcp any eq 443 10.1.1.0 0.0.0.255 gt 1023
permit tcp any eq 995 10.1.1.0 0.0.0.255 gt 1023
permit tcp any eq 465 10.1.1.0 0.0.0.255 gt 1023
deny ip any any
ip access-list extended WANin
deny tcp any any match-all +ack +fin +psh +rst +syn +urg
deny tcp any any match-all +rst +syn
deny tcp any any match-all +fin +rst +syn
deny tcp any any match-all +ack +fin +rst +syn
deny tcp any any match-all +fin +syn
deny tcp any any match-all +ack +fin +syn
deny ip any 10.1.1.0 0.0.0.255
deny ip 192.168.0.0 0.0.255.255 host 192.168.0.11
permit tcp any eq 443 host 192.168.0.11 gt 1023 established
permit tcp any eq 995 host 192.168.0.11 gt 1023 established
permit tcp any eq 465 host 192.168.0.11 gt 1023 established
deny ip any any
ip access-list extended WANout
deny ip 10.1.1.0 0.0.0.255 any
deny ip host 192.168.0.11 192.168.0.0 0.0.255.255
permit tcp any gt 1023 any eq 443
permit tcp any gt 1023 any eq 995
permit tcp any gt 1023 any eq 465
deny ip any any
...
Bin auch dankbar für Tips, wie man den Regelsatz noch verbessern könnte ~ insbesondere auch mit funktionierendem CBAC-Firewalling. Ich weiss, dass mein 871er nicht die letzte Firmware hat, aber da ich keinen Support-Vertrag mit Cisco habe :/ ... Eine 12.5+ Firmware hätte ggf. sogar Zone-Based-Firewalling, hm ...
Grüße aus Recklinghausen
vllt kann mir ein Cisco-Spezi hiermit weiterhelfen: ich möchte auf diesem Gerät stateful-firewalling per 'ip inspect ...' nutzen, aber bisher habe ich diese option nicht erfolgreich implementieren können. Ansonsten funktioniert alles, https-surfen und mail.
Die recht ausführliche cisco-infoseite geht zwar sehr detailliert darauf ein, aber trotzdem habe ich keine erfolgreiche cbac-config schreiben können -.-
https://www.cisco.com/en/US/products/sw/iosswrel/ps1835/products_configu ...
Meine LAN-Topologie:
<10.1.1.0/24>----[(vlan1)10.1.1.1-((Cisco871))-(fe4)192.168.0.11]------<192.168.0.0/24>-----[192.168.0.1-((ISP-Router))--(DHCP)] .... also doppel-nat...
Die Besonderheit in meinem Netz ist, dass ich im <lan> _kein_ DHCP nutze sowie _kein_lokales_ dns - sondern dns-over-https für web und mail.
Im Folgenden meine aktuelle config mit stateless-filterung per access-listen, ohne 'ip inspect':
ROM: System Bootstrap, Version 12.3(8r)YI4, RELEASE SOFTWARE
ROM: Cisco IOS Software, C870 Software (C870-ADVIPSERVICESK9-M), Version 12.3(8)YI2, RELEASE SOFTWARE (fc1)
!
version 12.3
no parser cache
no service pad
service tcp-keepalives-in
service tcp-keepalives-out
no service timestamps debug uptime
no service timestamps log uptime
service password-encryption
no service dhcp
!
hostname krauter
!
boot-start-marker
boot-end-marker
!
security authentication failure rate 10 log
security passwords min-length 6
logging buffered 4096 debugging
logging console critical
enable secret 5 xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
enable password 7 xxxxxxxxxxxxxxxxxxxxxxxxx
!
username xxxxxxxxxxxxx password 7 xxxxxxxxxxxxxxxxxxxxxxxxxxxx
aaa new-model
!
aaa authentication login local_auth local
aaa session-id common
ip subnet-zero
no ip source-route
no ip gratuitous-arps
ip cef
!
no ip bootp server
ip ips po max-events 100
login block-for 99 attempts 3 within 99
no ipv6 source-route
no ftp-server write-enable
!
interface FastEthernet0
no ip address
no cdp enable
!
interface FastEthernet1
switchport access vlan 10
no ip address
shutdown
no cdp enable
!
interface FastEthernet2
switchport access vlan 10
no ip address
shutdown
no cdp enable
!
interface FastEthernet3
switchport access vlan 20
no ip address
shutdown
no cdp enable
!
interface FastEthernet4
ip address 192.168.0.11 255.255.255.0
ip access-group WANin in
ip access-group WANout out
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
ntp disable
no cdp enable
!
interface Vlan1
ip address 10.1.1.1 255.255.255.0
ip access-group LANout out
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ntp disable
!
interface Vlan10
no ip address
no ip redirects
no ip unreachables
no ip proxy-arp
shutdown
!
ip classless
no ip forward-protocol nd
no ip forward-protocol udp
ip route 0.0.0.0 0.0.0.0 192.168.0.1
!
no ip http server
no ip http secure-server
ip nat inside source list LANnat interface FastEthernet4 overload
!
ip access-list extended LANnat
deny ip 10.1.1.0 0.0.0.255 host 10.1.1.1
deny ip 10.1.1.0 0.0.0.255 192.168.0.0 0.0.255.255
permit tcp 10.1.1.0 0.0.0.255 any eq 443
permit tcp 10.1.1.0 0.0.0.255 any eq 995
permit tcp 10.1.1.0 0.0.0.255 any eq 465
deny ip any any
ip access-list extended LANout
deny ip 192.168.0.0 0.0.255.255 10.1.1.0 0.0.0.255
permit tcp any eq 443 10.1.1.0 0.0.0.255 gt 1023
permit tcp any eq 995 10.1.1.0 0.0.0.255 gt 1023
permit tcp any eq 465 10.1.1.0 0.0.0.255 gt 1023
deny ip any any
ip access-list extended WANin
deny tcp any any match-all +ack +fin +psh +rst +syn +urg
deny tcp any any match-all +rst +syn
deny tcp any any match-all +fin +rst +syn
deny tcp any any match-all +ack +fin +rst +syn
deny tcp any any match-all +fin +syn
deny tcp any any match-all +ack +fin +syn
deny ip any 10.1.1.0 0.0.0.255
deny ip 192.168.0.0 0.0.255.255 host 192.168.0.11
permit tcp any eq 443 host 192.168.0.11 gt 1023 established
permit tcp any eq 995 host 192.168.0.11 gt 1023 established
permit tcp any eq 465 host 192.168.0.11 gt 1023 established
deny ip any any
ip access-list extended WANout
deny ip 10.1.1.0 0.0.0.255 any
deny ip host 192.168.0.11 192.168.0.0 0.0.255.255
permit tcp any gt 1023 any eq 443
permit tcp any gt 1023 any eq 995
permit tcp any gt 1023 any eq 465
deny ip any any
...
Bin auch dankbar für Tips, wie man den Regelsatz noch verbessern könnte ~ insbesondere auch mit funktionierendem CBAC-Firewalling. Ich weiss, dass mein 871er nicht die letzte Firmware hat, aber da ich keinen Support-Vertrag mit Cisco habe :/ ... Eine 12.5+ Firmware hätte ggf. sogar Zone-Based-Firewalling, hm ...
Grüße aus Recklinghausen
Please also mark the comments that contributed to the solution of the article
Content-ID: 559003
Url: https://administrator.de/contentid/559003
Printed on: November 10, 2024 at 18:11 o'clock
19 Comments
Latest comment
Das hiesige Cisco Tutorial mit Detailinfos zu beiden Themen CBAC und ZFW Firewalling hast du genau durchgelesen und verstanden ??
Siehe auch: Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Das mit deinen ACLs ist kontraproduktiv und auch gefährlich. Besser ist ein CBAC oder ZFW Konzept mit richtigem SPI Firewalling zu nutzen was du mit einfachen ACLs schlicht nicht hast.
Das Tutorial erklärt dir für beide Verfahren genau wie.
Siehe auch: Cisco 880, 890 und ISR Router Konfiguration mit xDSL, Kabel oder FTTH Anschluss plus VPN und IP-TV
Das mit deinen ACLs ist kontraproduktiv und auch gefährlich. Besser ist ein CBAC oder ZFW Konzept mit richtigem SPI Firewalling zu nutzen was du mit einfachen ACLs schlicht nicht hast.
Das Tutorial erklärt dir für beide Verfahren genau wie.
aber da ich keinen Support-Vertrag mit Cisco habe
Einfach mal bei Dr. Google nach dem Image Dateinamen suchen. zumal hinter einem stateful-nat-router des isp..
Dann doppeltes NAT und Firewall in einer Kaskade...na ja kann man machen, ist aber bekanntlich nicht eben das Gelbe vom Ei...scheint für mich nicht zu funktionieren
Das ist dann aber ein reines PEBKAC Problem. Am Cisco liegt es ganz sicher nicht. Aber ohne das du mal deine Konfig hier postest kann man so oder so nichts sagen wo ggf. der Fehler ist. Da hilft dann nur raten oder die Kristallkugel. CBAC sollte aber immer gehen !
Oben machst du weder CBAC noch ZFW sondern arbeitest schlicht nur mit ACL was FW technsich gesehen eher Steinzeit ist.
sh ip inspect all zeigt mir ständig nur an
Ist für dich auch komplett sinnfrei weil du ja gar kein CBAC machst. Da kann das dann logischerweise auch nix anzeigen...meine vermutung: dieser alte router will die tls1.2 verbindungen inspizieren
Nein, das macht er nicht.ich habe ehrlich gesagt keine lust mehr auf diesen 871...
Dann kaufe dir einen 886 oder 831 bei eBay https://www.ebay.de/itm/Cisco-881-K9-Ethernet-Security-Router/2532030244 ...
https://www.ebay.de/itm/Cisco-C881-K9/264669309555?hash=item3d9f852a73:g ...
Der macht das mit Links. Siehe Tutorial ! Dein 871 aber auch. Ist ja das gleiche IOS drin.
sondern sich nur um die verbindungsrichtungen kümmern, bis osi-layer4.
Auch das macht dein 871er mit links mit der entsprechenden CBAC Konfig. Wie gesagt...PEBKAC ?!P.S.: Deine Shift Taste ist defekt !
Deine Konfig ist auch vollkommen FALSCH, denn du machst gar kein CBAC !! Die Definition der CBAC Sessions fehlt vollkommen in deiner Konfig und deshalb kann das so niemals was werden !
Richtig wäre:
!
service timestamps log datetime localtime
!
hostname krauter
!
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
ip subnet-zero
no ip source-route
no cdp run => (Deaktiviert CDP global !)
!
ip inspect name myfw http
ip inspect name myfw https
ip inspect name myfw pop3s
ip inspect name myfw imaps
ip inspect name myfw esmtp
ip inspect name myfw icmp router-traffic
ip inspect name myfw tcp router-traffic
ip inspect name myfw udp router-traffic
!
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
shutdown
!
interface FastEthernet2
no ip address
shutdown
!
interface FastEthernet3
no ip address
shutdown
!
interface FastEthernet4
ip address 192.168.0.11 255.255.255.0
ip access-group DENY_ALL in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip inspect myfw out
ip virtual-reassembly
duplex auto
speed auto
ntp disable
!
interface Vlan1
ip address 10.1.1.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ntp disable
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.0.1
!
no ip http server
no ip http secure-server
ip nat inside source list LANnat interface FastEthernet4 overload
!
ip access-list extended LANnat
deny ip 10.1.1.0 0.0.0.255 host 10.1.1.1
deny ip 10.1.1.0 0.0.0.255 192.168.0.0 0.0.255.255
permit tcp 10.1.1.0 0.0.0.255 any eq 53
permit udp 10.1.1.0 0.0.0.255 any eq 53
permit tcp 10.1.1.0 0.0.0.255 any eq 80
permit tcp 10.1.1.0 0.0.0.255 any eq 443
permit tcp 10.1.1.0 0.0.0.255 any eq 995
permit tcp 10.1.1.0 0.0.0.255 any eq 465
deny ip any any
!
ip access-list extended DENY_ALL
permit icmp any any administratively-prohibited
permit icmp any any echo-reply
permit icmp any any packet-too-big
permit icmp any any time-exceeded
permit icmp any any unreachable
deny ip any any
!
So und nicht anders wird ein Schuh draus !!
Deine NAT Liste hat auch einen gravierenden Fehler, denn sie lässt DNS Pakete nicht ins Internet. Sprich Clients im lokalen LAN können DNS nicht auflösen.
Ebenso unverschlüsseltes HTTP.
Gibts sogar neu bei Real:
https://www.real.de/product/340340674/
Richtig wäre:
!
service timestamps log datetime localtime
!
hostname krauter
!
clock timezone CET 1 0
clock summer-time CEST recurring last Sun Mar 2:00 last Sun Oct 3:00
!
ip subnet-zero
no ip source-route
no cdp run => (Deaktiviert CDP global !)
!
ip inspect name myfw http
ip inspect name myfw https
ip inspect name myfw pop3s
ip inspect name myfw imaps
ip inspect name myfw esmtp
ip inspect name myfw icmp router-traffic
ip inspect name myfw tcp router-traffic
ip inspect name myfw udp router-traffic
!
!
interface FastEthernet0
no ip address
!
interface FastEthernet1
no ip address
shutdown
!
interface FastEthernet2
no ip address
shutdown
!
interface FastEthernet3
no ip address
shutdown
!
interface FastEthernet4
ip address 192.168.0.11 255.255.255.0
ip access-group DENY_ALL in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip inspect myfw out
ip virtual-reassembly
duplex auto
speed auto
ntp disable
!
interface Vlan1
ip address 10.1.1.1 255.255.255.0
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
ip virtual-reassembly
ntp disable
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.0.1
!
no ip http server
no ip http secure-server
ip nat inside source list LANnat interface FastEthernet4 overload
!
ip access-list extended LANnat
deny ip 10.1.1.0 0.0.0.255 host 10.1.1.1
deny ip 10.1.1.0 0.0.0.255 192.168.0.0 0.0.255.255
permit tcp 10.1.1.0 0.0.0.255 any eq 53
permit udp 10.1.1.0 0.0.0.255 any eq 53
permit tcp 10.1.1.0 0.0.0.255 any eq 80
permit tcp 10.1.1.0 0.0.0.255 any eq 443
permit tcp 10.1.1.0 0.0.0.255 any eq 995
permit tcp 10.1.1.0 0.0.0.255 any eq 465
deny ip any any
!
ip access-list extended DENY_ALL
permit icmp any any administratively-prohibited
permit icmp any any echo-reply
permit icmp any any packet-too-big
permit icmp any any time-exceeded
permit icmp any any unreachable
deny ip any any
!
So und nicht anders wird ein Schuh draus !!
Deine NAT Liste hat auch einen gravierenden Fehler, denn sie lässt DNS Pakete nicht ins Internet. Sprich Clients im lokalen LAN können DNS nicht auflösen.
Ebenso unverschlüsseltes HTTP.
PS: ein 800er kommt mir nicht mehr ins Haus!
Dann nimmst du besser einen modernen C926 der supportet VDSL2 mit Profil 35b.Gibts sogar neu bei Real:
https://www.real.de/product/340340674/
Ok... Aber ICMP kommt mir genauso wenig ins Haus wie ein Router mit integriertem Modem.
Na ja von deme der Modelle gibt es auch eine Ethernet ONLX Version wenn du mal ins Produkt Datenblatt siehst.Und ICMP kannst du ja unterbinden wenn du es verbietest in der CBAC ACL 111 !
ich habe nur TCP-Verbindungen im LAN; alle als ssl/tls getunnelt (!)
Gut, was soll uns das jetzt sagen ??Wenn du das Einschänken willst dann machst du es in einer Inbound ACL auf dem LAN Interface oder der PAT ACL.
wie bereits zu Anfag geschildert habe ich nur TCP/443 im lan (!)
OK, aber das spielt ja für die Konfig keinerlei Rolle. Wenn du es etwas strikter halten willst schränkst du den TCP 443 Traffic outbound dann ein über eine Inbound ACL auf dem LAN Interface oder der PAT ACL.unterstützt nur ip inspect name myfw tcp mit der 12.3er fw....
OK, kein Problem auch das kannst du nehmen...!Namensauflösung erfolgt stets nur über die Anwendung (browser/mail), extern per dns-over-https
Gut, dann lässt du halt TCP/UDP in der PAT ACL weg !wird es wirklich an der fehlenden zeit-config liegen?!
Vermutlich ?!Die o.a. Konfig rennt auf einem 871 wasserdicht und stabil.
nur weil der ISP sein vdsl2-protokoll geändert habe oder aber das Modem einfach druchbrennt
Ist natürlich Unsinn, denn Cisco supportet alle weltweiten Standards mit dem Modem. Zumal das ja auch nur Modem Firmware ist die man nachladen bzw. patchen kann. Die Annahme ist also unsinnig.Ohne Modem nimmst du dann halt immer ein Ethernet Breitband Modell.
mehr braucht kein Mensch privat idR.
Nee, da hast du recht aber wenn du ehrlich bist reicht da dann auch ein kleiner 20 Euro Mikrotik:https://www.varia-store.com/de/produkt/33635-mikrotik-routerboard-rb941- ...
es ist eigentlich good practice, ins WAN überhaupt keine stateless protokolle durchzulassen
In so einem Szenario wie dem deinen mit rein nur TCP 443 und sonst nix kann man das natürlich problemlos machen und das vorab per ACL filtern. Der gemeine Otto Normaluser kann das aber logischerweise nicht, denn der hat noch Voice, Email usw.<= unterstützt der 871 nicht...
Du solltest dringenst die Firmware updaten...oder was neues beschaffen für mich ist zumindest auf dem cisco 871 cbac-stateful-firewalling für https BROKEN
Nöö, rennt hier fehlerlos mit einem aktuellen Image. Aber auch wenn... Dann machst du eben rein nur TCP Inspection, die wuppt dann auch TCP 443 problemlos
IOS 15 latest...
https://www.alcatron.net/cisco877/ios/
https://www.alcatron.net/cisco877/ios/
läuft der router bei mir nun wie gewünscht mit cbac-firewalling
đip cef <== deaktivieren per no ip cef keine gute idee
Weiss man aber auch als Cisco User, denn das schaltet das schnelle Fast Switching ab und macht dann Process Switching über die CPU. Das das dann langsamer ist weiss auch ein Netzwerk Laie. sprich, den router geht es n ### an, was ich übertrage,
Richtig, allerdings gilt dann auch das er damit keinerlei HTTPS spezifische Anomalien, Angriffsmuster etc. mehr erkennen kann. Aber wenn dir das reicht ist reine TCP Inspection auch OK.folgende links/howtos waren fürs flashen hilfreich:
Ist eigentlich Unsinn, denn Cisco üblich macht man das immer mit einem TFTP Server.Entweder dem klassischen TFTP32: https://tftpd32.jounin.net oder dem Pumpkin: http://kin.klever.net/pumpkin wenn man mit Winblows arbeitet !
Dann copy tftp flash: und der Rest ist menügeführt wie üblich.
Unverständlich was du da mit FTP frickelst, aber egal. Was zählt ist ja das es nun rennt wie es soll.
Eine ZFW Firewall bringt dir bei der alten Hardware auch nicht wirklich einen Vorteil.
udp-müll will ich nicht bei wichtigen datenübertragungen.
Ist aber bei Cisco kein Thema denn der macht im Hintergrund einen Checksummen Vergleich. Die im Image embeddete Checksumme muss mit der des übertragenen Files übereinstimmen ansonsten sichert er das Image erst gar nicht im Flash. Ist also absolut wasserdicht auch mit TFTP.aber laut youtube-vids soll ftp (zumindest filezilla) sogar schneller sein?
Technischer Unsinn, denn der Session Overhead von TCP allein macht die Übertragung ja per se langsamer. Das sagt einem aber auch der gesunde IP Verstand. dass tftp probleme machen soll mit binaries größer 16MB oder so...
Nein, nicht 16MB aber 32MB. Da ist bei den meisten TFTP Servern das Limit !Nicht aber beim TFTP32 oben, der hat das Limit nicht !
schätze dieses policy-firewalling basiert ohnehin auf cbac/stateful-sessions
Nein, das ist falsch !Es ist vollkommen neu geschriebener Code im IOS und kommt aus der PIX/ASA Ecke. Das nutzt gar nichts mehr von CBAC.
CBAC wird bei Cisco nicht mehr weiterentwickelt und wird laut Ankündigung aus dem Development langfristig zugunsten der ZFW aus dem IOS Code vollkommen verschwinden.
wodurch der router von sich aus überall ungehindert funken kann
Auch das ist eine falsche Annahme. Jedenfalls wenn man die Self Zone mit Regeln belegt was man ja normalerweise in einer Firewall in jedem Falle macht.Zeigt eher das du dich wenig bis gar nicht mit der ZFW beschäftigt hast.
auch bei komplizierteren dmz-settings nur cbac einsetzen...
Eine grundfalsche Einstellung und auch im Hinblick auf die Zukunft von CBAC der völlig falsche Weg.By default all traffic is allowed to and from this zone..."
Yes, but as far as there is one single rule, which is quite mandatory in modern firewall concepts, all traffic will be blocked by default then.Das hiesige_Tutorial setzt deshalb auch konsequent Regeln in der Self Zone.
Auch der Engländer hat nur die Hälfte des ZFW Design Guides gelesen oder verstanden.
sondern linux oder openbsd für ne konkrete firewall.
Dann bist du hier richtig aufgehoben: Preiswerte, VPN fÀhige Firewall im Eigenbau oder als FertiggerÀt