On Wed, 9 Jan 2002, Paul P Komkoff Jr wrote:
> Date: Wed, 9 Jan 2002 21:05:42 +0300
> From: Paul P Komkoff Jr <i@stingr.net>
> Reply-To: inet-admins@info.east.ru
> To: inet-admins@info.east.ru
> Subject: Re: [inet-admins] acl ... established?
>
> Replying to Dmitry Valdov:
> > > А как ведёт себя циска, обрабатывая established, при включённом netflow ?
> > > она смотрит netflow cache (conntrack) или только флаги ?
> >
> > В смысле?? При роутинге пакета ей плевать на established вообще.. Роутит,
> > как всех. А при пропуске его через acl - как напишешь acl, так и будет.
> > Я не понял вопроса, в общем.
>
> А зря.
>
> нету ip route-cache: мы проверяем все, допустим, incoming пакеты по aclям.
> Что будет если встретится в aclе строчка established ? он пропустит пакет С
> ФЛАГОМ established или пакет -- часть какого-то соединения?
>
> дальше. ip route-cache flow: прверяем только пакеты -- установку соединения,
> потом уже установленные соединения ищутся в netflow cache и не тревожат
> обработку acl. Как в этом случае обрабатываются пакеты с флагом established
> но не являющиеся частью соединения? И обрабатываются ли они вообще ?
>
Циске вообще плевать на наличие соединения при обработке acl. Она (если
это не всякие там FW feature set, PIX и прочая дребедень) не в курсе вообще
про наличие tcp соединения. Т.е., для нее есть флаг в IP пакете -
established. А было ли на самом деле соединение - это
ей пофиг.
Т.е., реакция циски зависит (и при route cache или без него) только по
наличия флага established в самом IP (tcp) пакете.
Dmitry,
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on
