Перейти к контенту

Рекомендуемые сообщения

Добрый день!

Возник вопрос. Можно ли настроить фильтрацию трафика на координаторах hw серии в рамках защищенной сети? Если быть точнее, есть необходимость ограничить доступ по 22 порту к координаторам с машин под Vipnet Client кроме одной.

Заранее благодарен...

Ссылка на комментарий
Поделиться на других сайтах

HW1000 может блокировать пакеты защищённой сети. В iplir.conf в конкретном узле (секции узла) есть ряд параметров, отвечающих за блокировку: filterdefault, filtertcp, filterudp,filtericmp,filterip,filterservice. То есть, для каждого узла Вы можете прописать конкретные правила (в данном случае указываете filtertcp, который указывает на конкретное разрешающее правило для 22 порта). А в filterdefault для данного координатора Вы можете прописать запрет на все пакеты по умолчанию.

Ссылка на комментарий
Поделиться на других сайтах

А HW100 этого не умеет? Получается что тысячник замечательно прикрывается (проверю в ближайшее время) а сотые замечательно все пропускают... По собственным наблюдениям, если в настройках каждого узла на hw100 настраивать правила, то трафик блокируется, но при этом filterdefault для координатора не работает. В принципе можно настраивать правила и на каждом узле, но это создает большую проблему при добавлении нового узла - надо писать это правила на каждом из существующих узлов сети, а при сети в сотню координаторов это довольно напряжно. Было бы идеально, чтобы по умолчанию выставлялось при добавлении нового узла в его собственных настройках filterdefault= drop, (при условии что оно будет работать) и уже правилами в настройках для других узлов разрешался доступ к этому узлу. Или я чего-то не так понимаю?

Ссылка на комментарий
Поделиться на других сайтах

А HW100 этого не умеет? Получается что тысячник замечательно прикрывается (проверю в ближайшее время) а сотые замечательно все пропускают... По собственным наблюдениям, если в настройках каждого узла на hw100 настраивать правила, то трафик блокируется, но при этом filterdefault для координатора не работает. В принципе можно настраивать правила и на каждом узле, но это создает большую проблему при добавлении нового узла - надо писать это правила на каждом из существующих узлов сети, а при сети в сотню координаторов это довольно напряжно. Было бы идеально, чтобы по умолчанию выставлялось при добавлении нового узла в его собственных настройках filterdefault= drop, (при условии что оно будет работать) и уже правилами в настройках для других узлов разрешался доступ к этому узлу. Или я чего-то не так понимаю?

На любом linux-координаторе это работает. HW100 к ним относится. Я вчера вчитался в документацию про логику работы защищённого экрана. При выставлении фильтра по умолчанию в drop (в главном фильтре сети) он блокирует (Если верить документации) всю защищённую сеть. На практике пока с этим не ковырялся. У вас не подхватилось правило filterdefault в собственной секции координатора?

Ссылка на комментарий
Поделиться на других сайтах

Да, именно в этом вся и проблема. Только что тестировал, filterdefault и прочие правила ( filterdefault, filtertcp, filterudp,filtericmp,filterip,filterservice) не подхватываются в собственной секции.

Есть подозрение на версию ПО.

У меня:

HW1000 Q2/Q3 version: 3.0 (267)

ViPNet Coordinator version: 3.7.1-(3028)

ViPNet iplir daemon version: 3.0-670

ViPNet mftp daemon version: 3.53-60

ViPNet failover daemon version: 1.5-1

ViPNet drivers versions:

Iplir:

3.3.3

Watchdog:

1.0.5

HW1000 command line interface version: 1.2-11

Ссылка на комментарий
Поделиться на других сайтах

Да, именно в этом вся и проблема. Только что тестировал, filterdefault и прочие правила ( filterdefault, filtertcp, filterudp,filtericmp,filterip,filterservice) не подхватываются в собственной секции.

Есть подозрение на версию ПО.

У меня:

HW1000 Q2/Q3 version: 3.0 (267)

ViPNet Coordinator version: 3.7.1-(3028)

ViPNet iplir daemon version: 3.0-670

ViPNet mftp daemon version: 3.53-60

ViPNet failover daemon version: 1.5-1

ViPNet drivers versions:

Iplir:

3.3.3

Watchdog:

1.0.5

HW1000 command line interface version: 1.2-11

Вряд ли дело в версии. На своём координаторе пока такой случай не тестировали. Надо бы услышать мнение коллег, особенно из Инфотекса.

Ссылка на комментарий
Поделиться на других сайтах

В принципе разобрался, не там писал drop, надо же в главном фильтре защищенной сети (id= 0xfffffffe). Фильтр замечательно срабатывает, и все блокирует. Как я понял, в исключения этого фильтра можно прописать только разрешенные порты и т.д. но нет возможности фильтровать по IP. Допустим мне нужно запретить все, и разрешить только часть узлов... Это как то возможно?

Ссылка на комментарий
Поделиться на других сайтах

В принципе разобрался, не там писал drop, надо же в главном фильтре защищенной сети (id= 0xfffffffe). Фильтр замечательно срабатывает, и все блокирует. Как я понял, в исключения этого фильтра можно прописать только разрешенные порты и т.д. но нет возможности фильтровать по IP. Допустим мне нужно запретить все, и разрешить только часть узлов... Это как то возможно?

Как раз, насколько я понял правильно документацию, то главный фильтр блокирует всё сразу. Поэтому нужно копать в части запрещения по умолчанию на своём узле (в собственной секции).

Ссылка на комментарий
Поделиться на других сайтах

Пробовал, в собственной секции правила у*** не замечаются, понять бы в каком порядке идет считывание и применение правил...

Ссылка на комментарий
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Ответить в этой теме...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

×
×
  • Создать...

Важная информация

Продолжая пользоваться сайтом вы принимаете Условия использования.