https://www.opennet.ru/openforum/vsluhforumID6/20865.html Добрый день! <br>Имеем cisco 2801 вот вырезка из конфига:<br><br>ip inspect name FW tcp router-traffic<br>ip inspect name FW udp router-traffic<br><br>interface FastEthernet0/0<br> ip address 172.16.1.8 255.255.255.0<br> ip access-group WAN-IN in<br> ip inspect FW out<br><br>ip access-list extended WAN-IN<br> permit tcp any any established<br> permit icmp any any<br> permit tcp any any eq 22<br> permit tcp any any eq telnet<br><br>При этом нет возможности слить рабочий конфиг с маршрутизатора на удаленный tftp сервер. <br><br>copy running-config tftp://172.16.1.160<br>Address or name of remote host [172.16.1.160]? <br>Destination filename [s10-r1-confg]? <br>.....<br>%Error opening tftp://172.16.1.160/s10-r1-confg (Timed out)<br><br>В логах появляется следующее:<br>000097: Apr 12 15:33:32 UZB: %SEC-6-IPACCESSLOGP: list WAN-IN denied udp 172.16.1.160(59691) -&gt; 172.16.1.8(64445), 1 packet<br><br>т.е. инспекция не работает :(<br><br>sh ip inspect all<br>Session audit trail is disabled<br>Session alert is enabled<br>one-minute (sampling period) thresholds are [unlimited : unlim https://www.opennet.ru/openforum/vsluhforumID6/20865.html#5 Tue, 13 Apr 2010 06:12:12 GMT А кас. странных номеров портов, то как я нашел в нете:<br><br>Many TFTP servers use random UDP port numbers for individual TFTP sessions in accordance with sections 3 and 4 of RFC 1350 (TFTP misuses UDP port numbers as transfer identifiers).<br><br>это не противоречит RFC.<br><br>и как я понял однозначного решения этой проблемы нет, только ACL-ом явно разрешить весь udp траффик на конкретный хост.<br><br>Решением была бы команда<br>ip inspect name FW tftp router-traffic но ее пока нет в природе :(<br> https://www.opennet.ru/openforum/vsluhforumID6/20865.html#4 Tue, 13 Apr 2010 05:24:25 GMT &gt;<br>&gt;debug ip inspect чего говорит? <br>&gt;<br>&gt;IMHO, порты странные в ошибке... <br>&gt;Попробуйте другой TFTP сервер.... <br><br>Пробовал разные tftp серверы (Tftpd, 3CDaemon) результат одинаковый.<br><br>S10-R1#debug ip inspect udp<br>S10-R1#debug ip inspect tftp <br>S10-R1#copy running-config tftp://172.16.1.160<br>Address or name of remote host [172.16.1.160]? <br>Destination filename [s10-r1-confg]? <br><br>000079: Apr 13 10:21:50 UZB: FIREWALL UDP: sis 633CD1B8 pak 62C86CB0 SIS_CLOSED UDP packet (172.16.1.8:57217) =&gt; (172.16.1.160:69) datalen 21.<br>000080: Apr 13 10:21:53 UZB: FIREWALL UDP: sis 633CD1B8 pak 631201E0 SIS_OPENING UDP packet (172.16.1.8:57217) =&gt; (172.16.1.160:69) datalen 21<br>000081: Apr 13 10:21:53 UZB: %SEC-6-IPACCESSLOGP: list WAN-IN denied udp 172.16.1.160(49881) -&gt; 172.16.1.8(57217), 1 packet .<br>000082: Apr 13 10:21:57 UZB: FIREWALL UDP: sis 633CD1B8 pak 63123318 SIS_OPENING UDP packet (172.16.1.8:57217) =&gt; (172.16.1.160:69) datalen 21<br>000083: Apr 13 10:21:57 UZB: %SEC-6-IPACCESSLOGP: list WAN-IN denied udp 172.16.1 https://www.opennet.ru/openforum/vsluhforumID6/20865.html#3 Mon, 12 Apr 2010 16:53:06 GMT <br>debug ip inspect чего говорит?<br><br>IMHO, порты странные в ошибке...<br>Попробуйте другой TFTP сервер....<br><br> https://www.opennet.ru/openforum/vsluhforumID6/20865.html#2 Mon, 12 Apr 2010 16:10:31 GMT &gt;Сам пока не силен в inspect, но есть в Фёдоров С.А. "Курс <br>&gt;молодого бойца cisco" (http://anticisco.ru/pubs/YoungSoldierCisco.pdf) раздел "Защищаемся маршрутизатором". <br>&gt;<br>&gt;Как раз про инспектирование пишет. <br>&gt;<br>&gt;Посмотри, может поможет... <br><br>Я это уже читал, не помогло<br> https://www.opennet.ru/openforum/vsluhforumID6/20865.html#1 Mon, 12 Apr 2010 11:25:41 GMT Сам пока не силен в inspect, но есть в Фёдоров С.А. "Курс молодого бойца cisco" (http://anticisco.ru/pubs/YoungSoldierCisco.pdf) раздел "Защищаемся маршрутизатором".<br><br>Как раз про инспектирование пишет.<br><br>Посмотри, может поможет...<br>