<div dir="ltr">Hi<div><br></div><div>Let me expand a bit.</div><div><br></div><div>I have 2 sets of routers that have 3-4 ISP connected and I apply very broad ACL's here.  They are routeros box.</div><div><br></div><div>They both conect to a shared vlan and then onto a single ASA5520.</div><div><br></div><div>I want to allow tcp packets that are part of a stream ... in through these routers.</div><div><br></div><div>I can't used established because in routeros it depens on the underlying firewall seeing the initial syn packet or atleast seeing an outbound tcp packet ( as I allow all out).</div><div><br></div><div>Working from memory. </div><div><br></div><div>initial packet -> Syn</div><div>initial reply -> syn,ack</div><div>3rd is syn,ack</div><div><br></div><div>every other packet (valid) has a ack</div><div><br></div><div>end is FIN (does it have an ack ?)</div><div><br></div><div>does RST have an ack ?</div><div><br></div><div>so if I allow </div><div>ack </div><div>fin</div><div>rst </div><div><br></div><div>packets through that should cover all the tcp packets after the initial syn</div><div><br></div><div><br></div><div><br></div><div><br></div><div>Alex</div><div><br></div><div><br></div><div><br></div><div><br></div><div><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On 3 December 2016 at 00:04, Tom Storey <span dir="ltr"><<a href="mailto:tom@snnap.net" target="_blank">tom@snnap.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">If its a Cisco, might a reflexive ACL help?</div><div class="gmail_extra"><br><div class="gmail_quote"><div><div class="h5">On 2 December 2016 at 02:51, Alex Samad <span dir="ltr"><<a href="mailto:alex@samad.com.au" target="_blank">alex@samad.com.au</a>></span> wrote:<br></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5"><div dir="ltr">Hi<div><br></div><div>having a blonde moment.</div><div><br></div><div>I want to set an ACL to allow TCP streams through a firewall where there is asymmetric routing in place. So a stream that might be initiated via a different path, comes via this router mid stream</div><div><br></div><div>If I allow tcp packets that have ACK and/or RST. that should cover all packets in a tcp stream after the initial hand shake.</div><span class="m_-4503697833998620253HOEnZb"><font color="#888888"><div><br></div><div><br></div><div>Alex</div></font></span></div>
<br></div></div><span class="">______________________________<wbr>_________________<br>
AusNOG mailing list<br>
<a href="mailto:AusNOG@lists.ausnog.net" target="_blank">AusNOG@lists.ausnog.net</a><br>
<a href="http://lists.ausnog.net/mailman/listinfo/ausnog" rel="noreferrer" target="_blank">http://lists.ausnog.net/mailma<wbr>n/listinfo/ausnog</a><br>
<br></span></blockquote></div><br></div>
</blockquote></div><br></div>