Отдел ИБ Опубликовано 6 Августа 2014 Жалоба Поделиться Опубликовано 6 Августа 2014 Уважаемые форумчане, доброго времени суток.Помогите, пожалуйста, разобраться со следующей проблемкой.На интерфейсах координатора висят 2 сети (172.20.0.0/16 и 192.168.0.0/16). В сети 172.20.0.0 для компов шлюзом является маршрутизатор, смотрящий в Интернет. Координатор (172.20.36.99) находится также во внутренней сети и "ходит" в Интернет (для межсетевого взаимодействия) через маршрутизатор.Для сети 192.168.0.0 шлюзом является интерфейс координатора 192.168.36.22.Несколько месяцев назад настраивал firewall на координаторе в блоке [forward] для возможности сообщения некоторых компьютеров из разных сетей (например, 172.20.47.129 и 192.168.36.20). Правило приведено ниже: rule= num 25 proto tcp from 172.20.47.129 to 192.168.36.20 pass rule= num 26 proto tcp from 192.168.36.20 to 172.20.47.129 passВсе прекрасно работало. Позавчера вдруг компьютеры из разных сетей перестали видеть друг друга (причем только в рамках данных двух правил, остальные правила взаимодействия компьютеров из разных подсетей работают полноценно - например, для обновления каспера или доступа к шаре).Пакеты из сети 172.20.0.0 до координатора доходят, но на этом обрубаются с 31 событием.Скрины ошибки привожу ниже.Это с одного компа (правило разрешающее в форварде прописано)Это с другого компаИ подробнее описание данной ошибки:С чем может быть связано это явление? Изменений ни на координатор, ни в сеть не вносил в последнее время не вносил. Пробовал восстановить конфигурацию координатора с резервной копии, когда все работало (месяц назад), не помогло. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Rinya Опубликовано 7 Августа 2014 Жалоба Поделиться Опубликовано 7 Августа 2014 31Транзитный IP-пакет блокирован фильтром открытой сетиНайдено запрещающее правило фильтрации открытой сети в группе транзитных правилПопробуйте прописать правила в секции local Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Отдел ИБ Опубликовано 7 Августа 2014 Автор Жалоба Поделиться Опубликовано 7 Августа 2014 31Транзитный IP-пакет блокирован фильтром открытой сетиНайдено запрещающее правило фильтрации открытой сети в группе транзитных правилПопробуйте прописать правила в секции localПродублировал описанные выше 2 правила в секции [local]. Не помогло. По-прежнему в логах координатора пакеты обрубаются с 31 событием. Тем более в деталях записи о 31 событии пишется, что пакет обрабатывается как Forward. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
shaman1990 Опубликовано 7 Августа 2014 Жалоба Поделиться Опубликовано 7 Августа 2014 rule= num 25 proto tcp from 172.20.47.129 to 192.168.36.20 pass rule= num 26 proto tcp from 192.168.36.20 to 172.20.47.129 passНе вижу разрешающего правила для UDP и ICMP пакетов это раз, а два это - ip компа не соответствует правилам.Обратите внимание на правило 25 и первый скрин, соурс ip = 172.20.47.128, это раз, а два это протокол ICMP. Аналогично по правилу 26.В общем, если это все правила прописанные у вас в форварде связанные с этими сетками то вообще возникает вопрос как у вас все работало. Событие 31 говорит о том что пакет был смаршрутизирован после чего заблокирован. Если нужна будет помощь в настройке пишите a.korchagin@krasnodar.pro Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Отдел ИБ Опубликовано 7 Августа 2014 Автор Жалоба Поделиться Опубликовано 7 Августа 2014 rule= num 25 proto tcp from 172.20.47.129 to 192.168.36.20 pass rule= num 26 proto tcp from 192.168.36.20 to 172.20.47.129 passНе вижу разрешающего правила для UDP и ICMP пакетов это раз, а два это - ip компа не соответствует правилам.Обратите внимание на правило 25 и первый скрин, соурс ip = 172.20.47.128, это раз, а два это протокол ICMP. Аналогично по правилу 26.В общем, если это все правила прописанные у вас в форварде связанные с этими сетками то вообще возникает вопрос как у вас все работало. Событие 31 говорит о том что пакет был смаршрутизирован после чего заблокирован. Если нужна будет помощь в настройке пишите a.korchagin@krasnodar.proНасчет правил:1) Да, мой косяк, что скрин я неудачный выбрал. По умолчанию используется только нетбиос (tcp) и по tcp-протоколу же обновляется касперский. Пинговаться по умолчанию и не должно. На время экспериментов я открывал все протоколы (any). Более того, на время же экспериментов я пробовал поднимать выше всех правил в [forward] разрешающее правило по любому протоколу с любого ip на любой ip. Результат одинаковый.2) В теме я не стал перечислять все ip-адреса, разумеется в разрешающих правилах прописаны и 128, и 129, и куча прочих айпишников. Поскольку скрин последний я делал для 129, его я и указал в разрешающем правиле.Подводя итог, в первом сообщении я указал (за ненадобностью) не все ip-адреса в разрешающем правиле, и на момент передачи пакетов между компьютерами из разных сетей разрешающие правила для них были прописаны в разделе [forward]. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
shaman1990 Опубликовано 7 Августа 2014 Жалоба Поделиться Опубликовано 7 Августа 2014 Значит смотрите маршрутизацию. не попадает ли сетка 172.X.X.X под правила NAT если таковые есть? Думаю картину прояснит информация о маршрутах Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
shaman1990 Опубликовано 7 Августа 2014 Жалоба Поделиться Опубликовано 7 Августа 2014 Насчет правил:1) Да, мой косяк, что скрин я неудачный выбрал. По умолчанию используется только нетбиос (tcp) и по tcp-протоколу же обновляется касперский. Пинговаться по умолчанию и не должно. На время экспериментов я открывал все протоколы (any). Более того, на время же экспериментов я пробовал поднимать выше всех правил в [forward] разрешающее правило по любому протоколу с любого ip на любой ip. Результат одинаковый.2) В теме я не стал перечислять все ip-адреса, разумеется в разрешающих правилах прописаны и 128, и 129, и куча прочих айпишников. Поскольку скрин последний я делал для 129, его я и указал в разрешающем правиле.Подводя итог, в первом сообщении я указал (за ненадобностью) не все ip-адреса в разрешающем правиле, и на момент передачи пакетов между компьютерами из разных сетей разрешающие правила для них были прописаны в разделе [forward].Секцию локал не трогайте, на скринах четко прописано FORWARD: YES Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Отдел ИБ Опубликовано 7 Августа 2014 Автор Жалоба Поделиться Опубликовано 7 Августа 2014 Секцию локал не трогайте, на скринах четко прописано FORWARD: YESСогласен с Вашей логикой) В локале я правило добавил опять же для эксперимента, убедился, что не помогло, удалил правило.Сравнил с таблицей маршрутизации месячной и 2-месячной давности, когда все норм работало, без изменений. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
shaman1990 Опубликовано 7 Августа 2014 Жалоба Поделиться Опубликовано 7 Августа 2014 Согласен с Вашей логикой) В локале я правило добавил опять же для эксперимента, убедился, что не помогло, удалил правило.Сравнил с таблицей маршрутизации месячной и 2-месячной давности, когда все норм работало, без изменений.Напишите пожалуйста конкретный айпи с которого пингуете и какой интересует 3 и 4 актет Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
shaman1990 Опубликовано 7 Августа 2014 Жалоба Поделиться Опубликовано 7 Августа 2014 после какой запятая Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Отдел ИБ Опубликовано 7 Августа 2014 Автор Жалоба Поделиться Опубликовано 7 Августа 2014 Пингую с 172.20.47.129 192.168.36.20. В обоих случаях маска 16 Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
shaman1990 Опубликовано 7 Августа 2014 Жалоба Поделиться Опубликовано 7 Августа 2014 Пингую с 172.20.47.129 192.168.36.20. В обоих случаях маска 16поставте в форварде rule= num 1 proto any from anyip to anyip passИменно num 1. и попробуйте пингануть. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Отдел ИБ Опубликовано 7 Августа 2014 Автор Жалоба Поделиться Опубликовано 7 Августа 2014 поставте в форварде rule= num 1 proto any from anyip to anyip passИменно num 1. и попробуйте пингануть.Я уже делал все то же самое) Для того, чтобы только убедиться, повторил действия. Результат все тот же Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
shaman1990 Опубликовано 8 Августа 2014 Жалоба Поделиться Опубликовано 8 Августа 2014 В секции NAT есть правила? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Отдел ИБ Опубликовано 8 Августа 2014 Автор Жалоба Поделиться Опубликовано 8 Августа 2014 В секции NAT есть правила?Да, конечно. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.