Jump to content

Recommended Posts

Добрый день!

Возник вопрос. Можно ли настроить фильтрацию трафика на координаторах hw серии в рамках защищенной сети? Если быть точнее, есть необходимость ограничить доступ по 22 порту к координаторам с машин под Vipnet Client кроме одной.

Заранее благодарен...

Share this post


Link to post
Share on other sites

HW1000 может блокировать пакеты защищённой сети. В iplir.conf в конкретном узле (секции узла) есть ряд параметров, отвечающих за блокировку: filterdefault, filtertcp, filterudp,filtericmp,filterip,filterservice. То есть, для каждого узла Вы можете прописать конкретные правила (в данном случае указываете filtertcp, который указывает на конкретное разрешающее правило для 22 порта). А в filterdefault для данного координатора Вы можете прописать запрет на все пакеты по умолчанию.

Share this post


Link to post
Share on other sites

А HW100 этого не умеет? Получается что тысячник замечательно прикрывается (проверю в ближайшее время) а сотые замечательно все пропускают... По собственным наблюдениям, если в настройках каждого узла на hw100 настраивать правила, то трафик блокируется, но при этом filterdefault для координатора не работает. В принципе можно настраивать правила и на каждом узле, но это создает большую проблему при добавлении нового узла - надо писать это правила на каждом из существующих узлов сети, а при сети в сотню координаторов это довольно напряжно. Было бы идеально, чтобы по умолчанию выставлялось при добавлении нового узла в его собственных настройках filterdefault= drop, (при условии что оно будет работать) и уже правилами в настройках для других узлов разрешался доступ к этому узлу. Или я чего-то не так понимаю?

Share this post


Link to post
Share on other sites

А HW100 этого не умеет? Получается что тысячник замечательно прикрывается (проверю в ближайшее время) а сотые замечательно все пропускают... По собственным наблюдениям, если в настройках каждого узла на hw100 настраивать правила, то трафик блокируется, но при этом filterdefault для координатора не работает. В принципе можно настраивать правила и на каждом узле, но это создает большую проблему при добавлении нового узла - надо писать это правила на каждом из существующих узлов сети, а при сети в сотню координаторов это довольно напряжно. Было бы идеально, чтобы по умолчанию выставлялось при добавлении нового узла в его собственных настройках filterdefault= drop, (при условии что оно будет работать) и уже правилами в настройках для других узлов разрешался доступ к этому узлу. Или я чего-то не так понимаю?

На любом linux-координаторе это работает. HW100 к ним относится. Я вчера вчитался в документацию про логику работы защищённого экрана. При выставлении фильтра по умолчанию в drop (в главном фильтре сети) он блокирует (Если верить документации) всю защищённую сеть. На практике пока с этим не ковырялся. У вас не подхватилось правило filterdefault в собственной секции координатора?

Share this post


Link to post
Share on other sites

Да, именно в этом вся и проблема. Только что тестировал, filterdefault и прочие правила ( filterdefault, filtertcp, filterudp,filtericmp,filterip,filterservice) не подхватываются в собственной секции.

Есть подозрение на версию ПО.

У меня:

HW1000 Q2/Q3 version: 3.0 (267)

ViPNet Coordinator version: 3.7.1-(3028)

ViPNet iplir daemon version: 3.0-670

ViPNet mftp daemon version: 3.53-60

ViPNet failover daemon version: 1.5-1

ViPNet drivers versions:

Iplir:

3.3.3

Watchdog:

1.0.5

HW1000 command line interface version: 1.2-11

Share this post


Link to post
Share on other sites

Да, именно в этом вся и проблема. Только что тестировал, filterdefault и прочие правила ( filterdefault, filtertcp, filterudp,filtericmp,filterip,filterservice) не подхватываются в собственной секции.

Есть подозрение на версию ПО.

У меня:

HW1000 Q2/Q3 version: 3.0 (267)

ViPNet Coordinator version: 3.7.1-(3028)

ViPNet iplir daemon version: 3.0-670

ViPNet mftp daemon version: 3.53-60

ViPNet failover daemon version: 1.5-1

ViPNet drivers versions:

Iplir:

3.3.3

Watchdog:

1.0.5

HW1000 command line interface version: 1.2-11

Вряд ли дело в версии. На своём координаторе пока такой случай не тестировали. Надо бы услышать мнение коллег, особенно из Инфотекса.

Share this post


Link to post
Share on other sites

В принципе разобрался, не там писал drop, надо же в главном фильтре защищенной сети (id= 0xfffffffe). Фильтр замечательно срабатывает, и все блокирует. Как я понял, в исключения этого фильтра можно прописать только разрешенные порты и т.д. но нет возможности фильтровать по IP. Допустим мне нужно запретить все, и разрешить только часть узлов... Это как то возможно?

Share this post


Link to post
Share on other sites

В принципе разобрался, не там писал drop, надо же в главном фильтре защищенной сети (id= 0xfffffffe). Фильтр замечательно срабатывает, и все блокирует. Как я понял, в исключения этого фильтра можно прописать только разрешенные порты и т.д. но нет возможности фильтровать по IP. Допустим мне нужно запретить все, и разрешить только часть узлов... Это как то возможно?

Как раз, насколько я понял правильно документацию, то главный фильтр блокирует всё сразу. Поэтому нужно копать в части запрещения по умолчанию на своём узле (в собственной секции).

Share this post


Link to post
Share on other sites

Пробовал, в собственной секции правила у*** не замечаются, понять бы в каком порядке идет считывание и применение правил...

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.