PIX 7 vs. 6 - access-group in vs. in/out

[highlander]

Czesc

Dlaczego w pixach 6.x nie mozna przypisywac access listy do ruchu wychodzacego z interfejsu (tylko do ruchu przychodzacego) ?
Czy nie uwazacie ze to duzy minus urzadzenie ktore smie sie nazywac firewallem ?
- zwlaszcza ze routery maja ta opcje od dawna ?

Dlaczego dopiero w pix 7 jest ta mozliwosc ?
A moze ja o czyms nie wiem ? Czy da sie kontrolowac ruch wychodzacy z interfejsu ?
(potrzebuje to zrobic - chodzi o ruch remote vpn terminowany na pixie 6.3 -> nie moge tego zrobic kontrolujac ruch przychodzacy od strony internetu -> chyba?)

Dzieki

[Seba]

Dlaczego w pixach 6.x nie mozna przypisywac access listy do ruchu wychodzacego z interfejsu (tylko do ruchu przychodzacego) ?

Ask Cisco

Czy nie uwazacie ze to duzy minus urzadzenie ktore smie sie nazywac firewallem ?
- zwlaszcza ze routery maja ta opcje od dawna ?

Nie uwazamy

Dlaczego dopiero w pix 7 jest ta mozliwosc ?

Again, ask Cisco.

A moze ja o czyms nie wiem ? Czy da sie kontrolowac ruch wychodzacy z interfejsu ?(potrzebuje to zrobic - chodzi o ruch remote vpn terminowany na pixie 6.3 -> nie moge tego zrobic kontrolujac ruch przychodzacy od strony internetu -> chyba?)

Spojrz na moja odpowiedz w tamtym topic'u, a troche sie powinno rozjascic

[gangrena]

Czesc

Czy nie uwazacie ze to duzy minus urzadzenie ktore smie sie nazywac firewallem ?
- zwlaszcza ze routery maja ta opcje od dawna ?

Uwazamy, ale z drugiej strony ktos, kto kiedys projektowal pixa zalozyl, ze ruch vpn jest godny zaufania

Co do posterowania ruchem przychodzacym, to mozna zrobic to co napisal Seba albo pozmieniac ACL-ke NO-NAT. Zamiast "permit ip" wstawic np. "permit tcp" + porty. Nie jest to optymalne, ale od pixa dany vpn client otrzyma tylko wyselekcjonowane odpowiedzi.