Mam router Cisco 1921 K9, aktualnie soft 15.5(3)M2), używana zapora to ZBFW,
są skonfigurowane 3 strefy (in, out, self), 4 pary stref (out>self, self>out, in>out, out>in),
obecnie wszystkie reguły mają skonfigurowaną akcję "inspect" (poza ostatnią dla "unmatched trafic" która ma "drop")
W parze in>out mam regułę:
Kod: Zaznacz cały
ip access-list extended a1
remark CCP_ACL Category=128
permit ip host 192.168.150.22 any
class-map type inspect match-any a01
match protocol smtp
match protocol dns
match protocol https
match protocol http
class-map type inspect match-all ccp-cls-ccp-inspect-0
match class-map a01
match access-group name a1
*Sep 12 09:19:04.039: %FW-6-DROP_PKT: Dropping udp session 62.233.233.233:53 192.168.150.22:13379 on zone-pair sdm-zp-VPNOutsideToInside-1 class class-default due to DROP action found in policy-map with ip ident 39878
*Sep 12 09:19:34.695: %FW-6-DROP_PKT: Dropping udp session 87.204.204.204:53 192.168.150.22:22877 on zone-pair sdm-zp-VPNOutsideToInside-1 class class-default due to DROP action found in policy-map with ip ident 41610
*Sep 12 09:21:23.451: %FW-6-DROP_PKT: Dropping udp session 87.204.204.204:53 192.168.150.22:50776 on zone-pair sdm-zp-VPNOutsideToInside-1 class class-default due to DROP action found in policy-map with ip ident 46551
Reguła inspect dla ruchu wychodzącego powinna przepuszczać powracające odpowiedzi. I to tak działa, ale jakiś niewielki procent ruchu (szczególnie DNS) jest jednak dropowany.
Powoduje to błędy, powtórki, generalnie czkawkę.
Czy można coś na to poradzić? Czy to mój błąd w konfiguracji zapory?
Z góry dziękuję za sugestie