Jump to content

Recommended Posts

Добрый день!

Возник вопрос. Можно ли настроить фильтрацию трафика на координаторах hw серии в рамках защищенной сети? Если быть точнее, есть необходимость ограничить доступ по 22 порту к координаторам с машин под Vipnet Client кроме одной.

Заранее благодарен...

Share this post


Link to post
Share on other sites

HW1000 может блокировать пакеты защищённой сети. В iplir.conf в конкретном узле (секции узла) есть ряд параметров, отвечающих за блокировку: filterdefault, filtertcp, filterudp,filtericmp,filterip,filterservice. То есть, для каждого узла Вы можете прописать конкретные правила (в данном случае указываете filtertcp, который указывает на конкретное разрешающее правило для 22 порта). А в filterdefault для данного координатора Вы можете прописать запрет на все пакеты по умолчанию.

Share this post


Link to post
Share on other sites

А HW100 этого не умеет? Получается что тысячник замечательно прикрывается (проверю в ближайшее время) а сотые замечательно все пропускают... По собственным наблюдениям, если в настройках каждого узла на hw100 настраивать правила, то трафик блокируется, но при этом filterdefault для координатора не работает. В принципе можно настраивать правила и на каждом узле, но это создает большую проблему при добавлении нового узла - надо писать это правила на каждом из существующих узлов сети, а при сети в сотню координаторов это довольно напряжно. Было бы идеально, чтобы по умолчанию выставлялось при добавлении нового узла в его собственных настройках filterdefault= drop, (при условии что оно будет работать) и уже правилами в настройках для других узлов разрешался доступ к этому узлу. Или я чего-то не так понимаю?

Share this post


Link to post
Share on other sites

А HW100 этого не умеет? Получается что тысячник замечательно прикрывается (проверю в ближайшее время) а сотые замечательно все пропускают... По собственным наблюдениям, если в настройках каждого узла на hw100 настраивать правила, то трафик блокируется, но при этом filterdefault для координатора не работает. В принципе можно настраивать правила и на каждом узле, но это создает большую проблему при добавлении нового узла - надо писать это правила на каждом из существующих узлов сети, а при сети в сотню координаторов это довольно напряжно. Было бы идеально, чтобы по умолчанию выставлялось при добавлении нового узла в его собственных настройках filterdefault= drop, (при условии что оно будет работать) и уже правилами в настройках для других узлов разрешался доступ к этому узлу. Или я чего-то не так понимаю?

На любом linux-координаторе это работает. HW100 к ним относится. Я вчера вчитался в документацию про логику работы защищённого экрана. При выставлении фильтра по умолчанию в drop (в главном фильтре сети) он блокирует (Если верить документации) всю защищённую сеть. На практике пока с этим не ковырялся. У вас не подхватилось правило filterdefault в собственной секции координатора?

Share this post


Link to post
Share on other sites

Да, именно в этом вся и проблема. Только что тестировал, filterdefault и прочие правила ( filterdefault, filtertcp, filterudp,filtericmp,filterip,filterservice) не подхватываются в собственной секции.

Есть подозрение на версию ПО.

У меня:

HW1000 Q2/Q3 version: 3.0 (267)

ViPNet Coordinator version: 3.7.1-(3028)

ViPNet iplir daemon version: 3.0-670

ViPNet mftp daemon version: 3.53-60

ViPNet failover daemon version: 1.5-1

ViPNet drivers versions:

Iplir:

3.3.3

Watchdog:

1.0.5

HW1000 command line interface version: 1.2-11

Share this post


Link to post
Share on other sites

Да, именно в этом вся и проблема. Только что тестировал, filterdefault и прочие правила ( filterdefault, filtertcp, filterudp,filtericmp,filterip,filterservice) не подхватываются в собственной секции.

Есть подозрение на версию ПО.

У меня:

HW1000 Q2/Q3 version: 3.0 (267)

ViPNet Coordinator version: 3.7.1-(3028)

ViPNet iplir daemon version: 3.0-670

ViPNet mftp daemon version: 3.53-60

ViPNet failover daemon version: 1.5-1

ViPNet drivers versions:

Iplir:

3.3.3

Watchdog:

1.0.5

HW1000 command line interface version: 1.2-11

Вряд ли дело в версии. На своём координаторе пока такой случай не тестировали. Надо бы услышать мнение коллег, особенно из Инфотекса.

Share this post


Link to post
Share on other sites

В принципе разобрался, не там писал drop, надо же в главном фильтре защищенной сети (id= 0xfffffffe). Фильтр замечательно срабатывает, и все блокирует. Как я понял, в исключения этого фильтра можно прописать только разрешенные порты и т.д. но нет возможности фильтровать по IP. Допустим мне нужно запретить все, и разрешить только часть узлов... Это как то возможно?

Share this post


Link to post
Share on other sites

В принципе разобрался, не там писал drop, надо же в главном фильтре защищенной сети (id= 0xfffffffe). Фильтр замечательно срабатывает, и все блокирует. Как я понял, в исключения этого фильтра можно прописать только разрешенные порты и т.д. но нет возможности фильтровать по IP. Допустим мне нужно запретить все, и разрешить только часть узлов... Это как то возможно?

Как раз, насколько я понял правильно документацию, то главный фильтр блокирует всё сразу. Поэтому нужно копать в части запрещения по умолчанию на своём узле (в собственной секции).

Share this post


Link to post
Share on other sites

Пробовал, в собственной секции правила у*** не замечаются, понять бы в каком порядке идет считывание и применение правил...

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.