strelok57 Опубликовано 30 Мая 2013 Жалоба Поделиться Опубликовано 30 Мая 2013 Добрый день!Возник вопрос. Можно ли настроить фильтрацию трафика на координаторах hw серии в рамках защищенной сети? Если быть точнее, есть необходимость ограничить доступ по 22 порту к координаторам с машин под Vipnet Client кроме одной.Заранее благодарен... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 30 Мая 2013 Жалоба Поделиться Опубликовано 30 Мая 2013 HW1000 может блокировать пакеты защищённой сети. В iplir.conf в конкретном узле (секции узла) есть ряд параметров, отвечающих за блокировку: filterdefault, filtertcp, filterudp,filtericmp,filterip,filterservice. То есть, для каждого узла Вы можете прописать конкретные правила (в данном случае указываете filtertcp, который указывает на конкретное разрешающее правило для 22 порта). А в filterdefault для данного координатора Вы можете прописать запрет на все пакеты по умолчанию. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
strelok57 Опубликовано 31 Мая 2013 Автор Жалоба Поделиться Опубликовано 31 Мая 2013 А HW100 этого не умеет? Получается что тысячник замечательно прикрывается (проверю в ближайшее время) а сотые замечательно все пропускают... По собственным наблюдениям, если в настройках каждого узла на hw100 настраивать правила, то трафик блокируется, но при этом filterdefault для координатора не работает. В принципе можно настраивать правила и на каждом узле, но это создает большую проблему при добавлении нового узла - надо писать это правила на каждом из существующих узлов сети, а при сети в сотню координаторов это довольно напряжно. Было бы идеально, чтобы по умолчанию выставлялось при добавлении нового узла в его собственных настройках filterdefault= drop, (при условии что оно будет работать) и уже правилами в настройках для других узлов разрешался доступ к этому узлу. Или я чего-то не так понимаю? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 31 Мая 2013 Жалоба Поделиться Опубликовано 31 Мая 2013 А HW100 этого не умеет? Получается что тысячник замечательно прикрывается (проверю в ближайшее время) а сотые замечательно все пропускают... По собственным наблюдениям, если в настройках каждого узла на hw100 настраивать правила, то трафик блокируется, но при этом filterdefault для координатора не работает. В принципе можно настраивать правила и на каждом узле, но это создает большую проблему при добавлении нового узла - надо писать это правила на каждом из существующих узлов сети, а при сети в сотню координаторов это довольно напряжно. Было бы идеально, чтобы по умолчанию выставлялось при добавлении нового узла в его собственных настройках filterdefault= drop, (при условии что оно будет работать) и уже правилами в настройках для других узлов разрешался доступ к этому узлу. Или я чего-то не так понимаю?На любом linux-координаторе это работает. HW100 к ним относится. Я вчера вчитался в документацию про логику работы защищённого экрана. При выставлении фильтра по умолчанию в drop (в главном фильтре сети) он блокирует (Если верить документации) всю защищённую сеть. На практике пока с этим не ковырялся. У вас не подхватилось правило filterdefault в собственной секции координатора? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
strelok57 Опубликовано 31 Мая 2013 Автор Жалоба Поделиться Опубликовано 31 Мая 2013 Да, именно в этом вся и проблема. Только что тестировал, filterdefault и прочие правила ( filterdefault, filtertcp, filterudp,filtericmp,filterip,filterservice) не подхватываются в собственной секции.Есть подозрение на версию ПО.У меня:HW1000 Q2/Q3 version: 3.0 (267)ViPNet Coordinator version: 3.7.1-(3028)ViPNet iplir daemon version: 3.0-670ViPNet mftp daemon version: 3.53-60ViPNet failover daemon version: 1.5-1ViPNet drivers versions:Iplir: 3.3.3Watchdog: 1.0.5HW1000 command line interface version: 1.2-11 Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
UdmoortSib Опубликовано 2 Июня 2013 Жалоба Поделиться Опубликовано 2 Июня 2013 Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 3 Июня 2013 Жалоба Поделиться Опубликовано 3 Июня 2013 Да, именно в этом вся и проблема. Только что тестировал, filterdefault и прочие правила ( filterdefault, filtertcp, filterudp,filtericmp,filterip,filterservice) не подхватываются в собственной секции.Есть подозрение на версию ПО.У меня:HW1000 Q2/Q3 version: 3.0 (267)ViPNet Coordinator version: 3.7.1-(3028)ViPNet iplir daemon version: 3.0-670ViPNet mftp daemon version: 3.53-60ViPNet failover daemon version: 1.5-1ViPNet drivers versions:Iplir:3.3.3Watchdog:1.0.5HW1000 command line interface version: 1.2-11Вряд ли дело в версии. На своём координаторе пока такой случай не тестировали. Надо бы услышать мнение коллег, особенно из Инфотекса. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
strelok57 Опубликовано 5 Июня 2013 Автор Жалоба Поделиться Опубликовано 5 Июня 2013 В принципе разобрался, не там писал drop, надо же в главном фильтре защищенной сети (id= 0xfffffffe). Фильтр замечательно срабатывает, и все блокирует. Как я понял, в исключения этого фильтра можно прописать только разрешенные порты и т.д. но нет возможности фильтровать по IP. Допустим мне нужно запретить все, и разрешить только часть узлов... Это как то возможно? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
slavanchuk Опубликовано 5 Июня 2013 Жалоба Поделиться Опубликовано 5 Июня 2013 В принципе разобрался, не там писал drop, надо же в главном фильтре защищенной сети (id= 0xfffffffe). Фильтр замечательно срабатывает, и все блокирует. Как я понял, в исключения этого фильтра можно прописать только разрешенные порты и т.д. но нет возможности фильтровать по IP. Допустим мне нужно запретить все, и разрешить только часть узлов... Это как то возможно?Как раз, насколько я понял правильно документацию, то главный фильтр блокирует всё сразу. Поэтому нужно копать в части запрещения по умолчанию на своём узле (в собственной секции). Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
strelok57 Опубликовано 6 Июня 2013 Автор Жалоба Поделиться Опубликовано 6 Июня 2013 Пробовал, в собственной секции правила у*** не замечаются, понять бы в каком порядке идет считывание и применение правил... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
strelok57 Опубликовано 6 Июня 2013 Автор Жалоба Поделиться Опубликовано 6 Июня 2013 гы, я писал *у п о р н о*, прикольная автозамена) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.