ip inspect и фрагменты
Коллеги,
IOS 12.2(32) IDS/FW. Есть правило на интерфейсе наружу
ip inspect name TEST tcp timeout 3600
ip inspect name TEST udp timeout 30
ip inspect name TEST tftp
ip inspect name TEST rcmd
ip inspect name TEST ftp timeout 600
ip inspect name TEST fragment maximum 256 timeout 1
Если изнутри сделать запрос к Kerberos 88/udp наружу и ответ будет достаточно большой, то от ответа доходит только первый фрагмент (fragment offset=0, more fragments=1). Что я недокрутил? Пробовал timeout больше ставить, не помогло.
В качестве workaround сделал во входном ACL "permit udp any eq 88 any" и разумеется помогло, но хочется сделать канонично. Кстати это правило скорее всего пропустило ЛЮБОЙ фрагментированный трафик.
Заранее спасибо за любые идеи.
UPD: похоже это CSCdu30492 и CSCdx17419.
IOS 12.2(32) IDS/FW. Есть правило на интерфейсе наружу
ip inspect name TEST tcp timeout 3600
ip inspect name TEST udp timeout 30
ip inspect name TEST tftp
ip inspect name TEST rcmd
ip inspect name TEST ftp timeout 600
ip inspect name TEST fragment maximum 256 timeout 1
Если изнутри сделать запрос к Kerberos 88/udp наружу и ответ будет достаточно большой, то от ответа доходит только первый фрагмент (fragment offset=0, more fragments=1). Что я недокрутил? Пробовал timeout больше ставить, не помогло.
В качестве workaround сделал во входном ACL "permit udp any eq 88 any" и разумеется помогло, но хочется сделать канонично. Кстати это правило скорее всего пропустило ЛЮБОЙ фрагментированный трафик.
Заранее спасибо за любые идеи.
UPD: похоже это CSCdu30492 и CSCdx17419.