- Milyen videókártyát?
- AMD K6-III, és minden ami RETRO - Oldschool tuning
- TCL LCD és LED TV-k
- Vezetékes FEJhallgatók
- Bluetooth hangszórók
- Milyen belső merevlemezt vegyek?
- Épített vízhűtés (nem kompakt) topic
- Fejhallgató erősítő és DAC topik
- NVIDIA GeForce RTX 5080 / 5090 (GB203 / 202)
- AMD Catalyst™ driverek topikja
-
PROHARDVER!
--- Még az új vizsgarendszer előtti információk, majd frissítjük! ---
Gyakran ismételt kérdések
Olvasd el a cikkeket itt.
Új hozzászólás Aktív témák
-
crok
Topikgazda
válasz
zsolti.22 #8828 üzenetére
Na.
A self zone nem rossz, csak jól át kell gondolni mit akarsz elérni a routeren, mihez kell a routernek kapcsolódnia és mi kapcsolódhat hozzá ( : De amúgy ennyi, a self zone a router saját védelmére van kitalálva security szempontból (túlterhelésre ott a CoPP). Meg lehetőleg legyen backdoor-od mielőtt a self-et piszkálod távolról, mondjuk egy input ACL-ben először explicit engedd be magadat SSH-n ( :
INSIDE-to-OUTSIDE: egyértelmű, ahogy írtad.
INSIDE-to-VOIP: Ha nem lesz SIP forgalom az INSIDE és a VOIP közt vagy eleve csak és kizárólag a WWW felületét akarod csak elérni a telefonnak az INSIDE-ból akkor INSIDE-to-VOIP inspect www-re vagy tcp-re - elég, de igazából minden a security policy-den múlik, hogy mennyire akarsz strict lenni és hogy mi a célod: működő de megfelelően strict elérést biztosítani vagy sz#p&tni magad ( :
VOIP-to-OUTSIDE: Látom SIP-et használsz. Az 5060-as port csak a signaling (SIP), ugye nincs benne maga a voice stream (nyugi, nem para a sok packet, CEF-ből letolja a router, egyébként mondjuk G711-el egy hívás másodpercenként default értékekkel 50db 20ms-es voice stream-et generál ( : ). A STUN a NAT-olást magában megoldja, de ha a VOIP-to-OUTSIDE-ba csinálsz egy policy-t UDP inspectre (esetleg szűkítheted a 16384 - 32767 port-range-re) akkor megoldja azt is - de kell az inspect vagy az oda-vissza pass a OUTSIDE-to-VOIP irányban is, mert téged is hívhatnak és te is akarsz hívni. A SIP-nek kellhet a TCP és/vagy UDP 5060 és/vagy az 5061 port (nem tudom mit használsz pontosan.. így ez lehet TCP és/vagy UDP, az 5060 cleartext, az 5061 crypted SIP). Ezt én csak azért tenném be pass-ra (vagy oda-vissza inspect-be) a VOIP-to-OUTSIDE és az OUTSIDE-to-VOIP zónákba mert tudom, hogy a SIP inspection ritka szarul működik ZBF-ben (klasszikus CBAC inspect-ben is.. ASA-ban is.. PIX-ben is.. FWSM-ben is..). Ha jól működne a SIP inspection akkor csinálhatnál olyat, hogy a VOIP-to-OUTSIDE és az OUTSIDE-to-VOIP zónákba is felveszed inspect-el a SIP-et és az RTP-t is (UDP 16384 - 32767) - így akár kintről hívnak téged, akár bentről hívsz valakit a ZBF mindig megnézné a session-öket és ha nem lenne baj a csomagokkal akkor menne minden.
OUTSIDE-to-SELF: "Vannak olyan forgalmak, ami egy az egyben csak a routernek szól és nem mögöttes eszköznek, ilyen forgalom: az SSH, router órájának szinkonizációja, DDNS, uplink DHCP egyeztetés, DNS lekérdezés (konfigurációban meglévő domain-név feloldása) - ez mind igaz a self zónára, de nem feltétlen az OUTSIDE-to-SELF irányra. A routerre SSH-ni szeretnél - ez OUTSIDE-to-SELF. Óraszinkron, DDNS, DNS: biztos hogy ez OUTSIDE-to-SELF -el a legegyszerűbb? Mi lenne, ha SELF-to-OUTSIDE-ra csinálnád inspect-el? Akkor nem kell szívni a visszaengedéssel és a session-t még ellenőrzi is a router. Az SSH-t meg a DHCP-t a WAN-on egy in és egy out ACL-el eleve engedném (SSH-t kintről a megbízható source-ból, bentről mindenhova, DHCP az IP szerzés és def.route miatt kell kifelé/befelé). Persze megcsinálhatod úgy is hogy amit tutira engednél azt a SELF-to-OUTSIDE és OUTSIDE-to-SELF irányban is pass-ra teszed. Minden más meg vagy drop, vagy drop log, vagy amit szeretnél, akár oda-vissza inspect-elheted, akkor kifelé/befelé is mehet mindenféle forgalom ( :
"És akkor a fentiek tudatában szeretne az ember VPN-t konfigurálni": igen, így kell, ahogy leírod.. de miért érintené az OUTSIDE-to-VOIP zónát? Hiszen le is írod, hogy OUTSIDE-ból jön a public IP-s IPSec forgalmad és a router terminálja az IPSec-et - tehát OUTSIDE-to-SELF-et érinti valamint a SELF-to-OUTSIDE-ot. Azért mindkettőt, mert az IPSec itt most UDP és ESP, amit nem fog tudni inspect-elni a router, pass kell, oda-vissza. Ez az IPSec műkédésére kell - vagy ugye order-of-operation alapján engedheted ACL-el is az IPSec végponti forgalmat kifele/befele.. Aztán meglesz a NAT ha kell.. Aztán a VOIP-to-OUTSIDE és az OUTSIDE-to-VOIP-ban leírsz mindent, ami a telefonok közt meg a SIP szolgáltatóhoz kell, oda/vissza, pass-al vagy inspect-el, ahogy jónak látod.
Ha valami nem tiszta írj, tisztázzuk ( : Csak már én is fáradt vagyok..
Ja igen: IOS függő, de ~15.1 alatt intra-zone interface-ek közti forgalom implicit engedélyezve van (same security level principle..) ám felette explicit módon csinálni kell intra-zone policy-t, ami egyébként ugyan elsőre hülyeség, de ha belegondolsz ez egy plusz védelmi szint is lehet ha kihasználod: mondhatod, hogy INSIDE-to-INSIDE és match+pass mindenre, mint eddig.. de ha mondjuk azt mondod, hogy INSIDE-to-INSIDE match mindenre és inspect.. akkor az azonos zónákban levő interface-ek közti session-öket a router ellenőrzheti is! Vagy csinálhatsz policy-ket, class-okat és ACL-eket, hogy ugyan ZBF szempontból egy zónába eső hálózatok közt is meg tudj valósítani szűrést a routeren keresztül - ami viszont tök jó kis komplex megoldásokat eredményezhet ha okosan használod.
(B#&zkidehusszúlett'..)
Új hozzászólás Aktív témák
- Kérlek használd a keresőt, mielőtt kérdezel!
- Olvasd el a téma összefoglalót mielőtt kérdezel!
- A dumpok és a warez tiltott témának számítanak!
- Milyen videókártyát?
- Kínai és egyéb olcsó órák topikja
- Kodi és kiegészítői magyar nyelvű online tartalmakhoz (Linux, Windows)
- Windows 11
- Ford topik
- Samsung Galaxy Watch6 Classic - tekerd!
- btz: Internet fejlesztés országosan!
- Szombathely és környéke adok-veszek-beszélgetek
- gban: Ingyen kellene, de tegnapra
- Tesla topik
- További aktív témák...
- Chuwi HiPad Pro 8GB/128GB 10.8" 2K 8mag 2SIM Alu ház 7,5mm 450g
- BONTATLAN STEELSERIES TERMÉKEK BOMBA ÁRON! ÚJ, AZONNAL ÁTVEHETŐ!
- ASUS ROG Strix Scsr 16 G634JZR i9-14900HX, 32GB DDR5, RTX 4080 (2027.08-ig garis)
- Eladó Harman Kardon 2.1 BDS270 házimozi rendszer
- Ledger Nano S kripto cold wallet (2db van)
- BESZÁMÍTÁS! Asus B550M R5 5600X 32GB DDR4 512GB SSD RTX 3060 12GB THERMALTAKE Commander G41 700W
- Telefon Felvásárlás!! iPhone 14/iPhone 14 Plus/iPhone 14 Pro/iPhone 14 Pro Max
- Microsoft Surface Laptop 3 - 15 col - Fekete
- Xiaomi Redmi 9A 32GB Kártyafüggetlen 1Év Garanciával
- Csere-Beszámítás! Asus Rog Thor II 1200W 80+ Platinum tápegység! Olvass!
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest
Cég: Promenade Publishing House Kft.
Város: Budapest