Artyom Опубликовано 22 Ноября 2016 Жалоба Поделиться Опубликовано 22 Ноября 2016 Добрый день! Возникла ситуация при которой мне не понятно как отрабатывает встроееный Firewall в версии клиента 3.2.11.18212. Клиент через шлюз не может пинговать контр. домена! В правилах "Открытой сети" клиента просисано правило разрешаеющее трафик в обе стороны для йп адреса контр. домена. Когда же смотрю в iplir view, видно что пакеты блокируются туннельным фильтром. Как же всё-таки работает встроенный Firewall на клиенте??? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
ingenico Опубликовано 22 Ноября 2016 Жалоба Поделиться Опубликовано 22 Ноября 2016 C каким номером события блокируются пакеты? IP-адрес Контроллера Домена входит в диапазон туннелируемых ресурсов? В секции tunnel конфигурационного файла firewall.conf есть ли разрешающее правило для этого туннеля? P.S. Вроде только такое событие блокировки туннельным фильтром для открытого трафика есть: "37 - Пакет блокирован фильтром для туннелируемых узлов - Это событие регистрируется только на координаторе. Пакет блокируется правилом фильтрации для туннелируемых узлов или для пакета не удалось найти подходящее правило" Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Artyom Опубликовано 22 Ноября 2016 Автор Жалоба Поделиться Опубликовано 22 Ноября 2016 2 minutes ago, ingenico said: C каким номером события блокируются пакеты? IP-адрес Контроллера Домена входит в диапазон туннелируемых ресурсов? В секции tunnel конфигурационного файла firewall.conf есть ли разрешающее правило для этого туннеля? P.S. Вроде только такое событие блокировки туннельным фильтром для открытого трафика есть: "37 - Пакет блокирован фильтром для туннелируемых узлов - Это событие регистрируется только на координаторе. Пакет блокируется правилом фильтрации для туннелируемых узлов или для пакета не удалось найти подходящее правило" Номер события 37. Да, КД входит в диапазон адресов. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Artyom Опубликовано 22 Ноября 2016 Автор Жалоба Поделиться Опубликовано 22 Ноября 2016 Почему трафик идет через координатор? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
ingenico Опубликовано 22 Ноября 2016 Жалоба Поделиться Опубликовано 22 Ноября 2016 В секции tunnel конфигурационного файла firewall.conf есть ли разрешающее правило для этого туннеля? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Artyom Опубликовано 22 Ноября 2016 Автор Жалоба Поделиться Опубликовано 22 Ноября 2016 2 minutes ago, ingenico said: В секции tunnel конфигурационного файла firewall.conf есть ли разрешающее правило для этого туннеля? нет Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
ingenico Опубликовано 22 Ноября 2016 Жалоба Поделиться Опубликовано 22 Ноября 2016 Именно для этого туннеля нет? И дефолтного правила типа rule= num 1 proto any from any to any pass совсем нет? Если это так, то вот и причина. Добавьте нужное правило. Что-то типа rule= num 10 proto any from anyid to (IP-контроллера) pass Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Artyom Опубликовано 22 Ноября 2016 Автор Жалоба Поделиться Опубликовано 22 Ноября 2016 У меня клиент в правилах туннеля не упоминается вовсе! У клиента свой стоит шлюз в настройках TCP/IP, который роутит трафик на КД. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
ingenico Опубликовано 22 Ноября 2016 Жалоба Поделиться Опубликовано 22 Ноября 2016 Если бы трафик шел с Клиента напрямую на КД, то он бы не проходил через Координатор и вы бы не видели эти события на нем. Так как адрес КД принадлежит диапазону туннелируемых адресов, то Клиент к нему ходит через Координатор. Чтобы Клиент ходил к КД напрямую надо на Клиенте в "Защищенной сети" в свойствах вашего Координатора во вкладке "Туннель" добавить IP-адрес КД в список адресов, которые не будут туннелироваться. Либо через Координатор, но с нужным правилом в секции tunnel. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Artyom Опубликовано 22 Ноября 2016 Автор Жалоба Поделиться Опубликовано 22 Ноября 2016 2 hours ago, ingenico said: Чтобы Клиент ходил к КД напрямую надо на Клиенте в "Защищенной сети" в свойствах вашего Координатора во вкладке "Туннель" добавить IP-адрес КД в список адресов, которые не будут туннелироваться. ВРОДЕ БЫ КАК ПОМОГЛО. ПРОВЕРЮ ЗАВТРА. СПАСИБО! Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.