Jump to content

Recommended Posts

Добрый день!

Возникла ситуация при которой мне не понятно как отрабатывает встроееный Firewall в версии клиента 3.2.11.18212. Клиент через шлюз не может пинговать контр. домена! В правилах "Открытой сети" клиента просисано правило разрешаеющее трафик в обе стороны для йп адреса контр. домена.

Когда же смотрю в iplir view, видно что пакеты блокируются туннельным фильтром.

Как же всё-таки работает встроенный Firewall на клиенте???

Share this post


Link to post
Share on other sites

C каким номером события блокируются пакеты?

IP-адрес Контроллера Домена входит в диапазон туннелируемых ресурсов?

В секции tunnel конфигурационного файла firewall.conf есть ли разрешающее правило для этого туннеля?

P.S.   Вроде только такое событие блокировки туннельным фильтром для открытого трафика есть:

"37  -   Пакет блокирован фильтром для туннелируемых узлов   -   Это событие регистрируется только на координаторе. Пакет блокируется правилом фильтрации для туннелируемых узлов или для пакета не удалось найти подходящее правило"

Share this post


Link to post
Share on other sites
2 minutes ago, ingenico said:

C каким номером события блокируются пакеты?

IP-адрес Контроллера Домена входит в диапазон туннелируемых ресурсов?

В секции tunnel конфигурационного файла firewall.conf есть ли разрешающее правило для этого туннеля?

P.S.   Вроде только такое событие блокировки туннельным фильтром для открытого трафика есть:

"37  -   Пакет блокирован фильтром для туннелируемых узлов   -   Это событие регистрируется только на координаторе. Пакет блокируется правилом фильтрации для туннелируемых узлов или для пакета не удалось найти подходящее правило"

Номер события 37. Да, КД входит в диапазон адресов.

Share this post


Link to post
Share on other sites

Почему трафик идет через координатор?

Share this post


Link to post
Share on other sites

В секции tunnel конфигурационного файла firewall.conf есть ли разрешающее правило для этого туннеля?

Share this post


Link to post
Share on other sites
2 minutes ago, ingenico said:

В секции tunnel конфигурационного файла firewall.conf есть ли разрешающее правило для этого туннеля?

нет

Share this post


Link to post
Share on other sites

Именно для этого туннеля нет?

И дефолтного правила типа  rule= num 1 proto any from any to any pass  совсем нет?

Если это так, то вот и причина. Добавьте нужное правило. Что-то типа  rule= num 10 proto any from anyid to (IP-контроллера) pass

Share this post


Link to post
Share on other sites

У меня клиент в правилах туннеля не упоминается вовсе! У клиента свой стоит шлюз в настройках TCP/IP, который роутит трафик на КД.

Share this post


Link to post
Share on other sites

Если бы трафик шел с Клиента напрямую на КД, то он бы не проходил через Координатор и вы бы не видели эти события на нем.

Так как адрес КД принадлежит диапазону туннелируемых адресов, то Клиент к нему ходит через Координатор.

Чтобы Клиент ходил к КД напрямую надо на Клиенте в "Защищенной сети" в свойствах вашего Координатора во вкладке "Туннель" добавить IP-адрес КД в список адресов, которые не будут туннелироваться.

Либо через Координатор, но с нужным правилом в секции tunnel.

Share this post


Link to post
Share on other sites
2 hours ago, ingenico said:

Чтобы Клиент ходил к КД напрямую надо на Клиенте в "Защищенной сети" в свойствах вашего Координатора во вкладке "Туннель" добавить IP-адрес КД в список адресов, которые не будут туннелироваться.

ВРОДЕ БЫ КАК ПОМОГЛО. ПРОВЕРЮ ЗАВТРА. СПАСИБО!

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.