Правила МЭ на Vipnet Coordinator HW

[sax]

Коллеги, добрый день!

Есть две площадки, на границах обоих стоят HW1000. Между площадками настроен туннель, внутренние адреса площадок туннелируются.

Каким типом правил МЭ должен регулироваться доступ с какого-либо хоста одной площадки на внешний интерфейс випнета второй площадки? Ни local, ни tunnel результата не дают: доступ тестовой машине на випнет перекрыть не получается.

local src IP_хоста dst @local drop - не работает

local src @any dst IP_адреса_випнета drop - не работает

tunnel src IP_хоста dst ID_випнета drop - не работает

tunnel src IP_хоста dst IP_адреса_випнета drop - не работает

tunnel src IP_хоста dst @any drop - не работает

Что-то я завис вообще.

Модель HW1000, версия 4.2.0-1958

[sax]

up

[R.Sheyn]

впн. вы идете с туннеля на защищенный хост, на защищенном хосте это впн правила.

правила туннелей работают только между туннелями

правила local для нешифрованного трафика.

[sax]

В VPN правилах можно оперировать только идентификаторами узлов сети. Тестовый ПК не является узлом сети Vipnet. Что писать в правиле?

[KostiK2011IT]

Проверьте фильтры по умолчанию для туннелей и порядок следования правил.

[sax]

29 минут назад, KostiK2011IT сказал:

Проверьте фильтры по умолчанию для туннелей и порядок следования правил.

Фильтр по умолчанию (если мы говорим про секцию default) - не пускать:
 Default:
+====+=================================================+============+==========+
|Num |Name                                             |Option      |Schedule  |
+----+------------------------+------------------------+------------+----------+
|Act |Source                  |Destination             |Protocol               |
+====+========================+========================+============+==========+
|1   |Block All Traffic                                |User        |          |
+----+------------------------+------------------------+------------+----------+
|drop|@any                    |@any                    |@any                   |
+====+========================+========================+=======================+
В секции user первым стоит правило, разрешающее ICMP. Следующим правилом я пытаюсь явным образом запретить доступ с тестовой машины - не получается.

[KostiK2011IT]

Смотреть надо фильтры для туннелей - firewall tunnel show . По дефолту трафик от всех туннелей ко всем туннелям разрешен, поэтому, если правила дописывать за правилом по умолчанию, то они не отработают.

[sax]

5 минут назад, KostiK2011IT сказал:

Смотреть надо фильтры для туннелей - firewall tunnel show . По дефолту трафик от всех туннелей ко всем туннелям разрешен, поэтому, если правила дописывать за правилом по умолчанию, то они не отработают.

У всех правил МЭ 4 секции:
Служебные фильтры
Фильтры политик безопасности
Пользовательские фильтры
Блокирующий фильтр по умолчанию.
Редактировать можно только пользовательские правила. В этой секции (user) первым правилом стоит any any icmp pass, следующими за ним правилами я пытаюсь заблокировать тестовую машину - не получается.
 User:
+====+=================================================+============+==========+
|Num |Name                                             |Option      |Schedule  |
+----+------------------------+------------------------+------------+----------+
|Act |Source                  |Destination             |Protocol               |
+====+========================+========================+============+==========+
|1   |                                                 |User        |          |
+----+------------------------+------------------------+------------+----------+
|pass|@any                    |@any                    |icmp:any               |
+====+========================+========================+============+==========+
|2   |                                                 |User        |          |
+----+------------------------+------------------------+------------+----------+
|drop|IP_ПК           |@any                    |@any                   |
+====+========================+========================+============+==========+
|3   |                                                 |User        |          |
+----+------------------------+------------------------+------------+----------+
|drop|IP_ПК           |ID_Координатора              |@any                   |
+====+========================+========================+============+==========+
|4   |                                                 |User        |          |
+----+------------------------+------------------------+------------+----------+
|drop|IP_ПК           |IP_Координатора            |@any                   |
+====+========================+========================+============+==========+

[KostiK2011IT]

это вывод какой команды? firewall local show? firewall vpn show? firewall forward show? firewall tunnel show?

[sax]

Ну мы же про туннели говорим. Fire tunnel show

[KostiK2011IT]

На свои правила внимательнее поглядите - разрешающее правило стоит первым номером, а следующими вы все дропаете, следует, пинг на тестовую машину пройдет при любом раскладе, а блокирующее правила (следующие ниже) отработают для всех протаколов кроме icmp. Блокирующее правила выше поднимите - для этого надо указать номер при создании.

firewall <тип> add [<номер>] [rule <имя>] src <адрес отправителя> dst <адрес получателя> [<протокол>] [<расписание>] <действие> - это полный синтакси команды для создания фильтров - Настройка через командный интерпритатор, стр. 121, там же и примеры, только они расчитаны на то, что удалено правило по умолчанию.

 

[sax]

Уточнение: правила писались на координаторе, доступ к которому надо закрыть. Пойду попробую написать на ближнем к ПК координаторе.

[KostiK2011IT]

По идеи, все равно на каком координаторе написать правила, только разрешающий фильтр по умолчанию (именно по умолчанию, который автоматом создается в секции User) в самый низ списка опустить.