bmm Опубликовано 25 Февраля 2016 Жалоба Поделиться Опубликовано 25 Февраля 2016 Всем привет! В файле firewall.conf в секции tunell прописываю правило запрещающее прохождение пакетов от определенного узла на определенный адрес: rule= num 1 proto any from 0x107d0097 to 192.168.0.100 drop rule= num 2 proto any from 192.168.0.100 to 0x107d0097 drop Запускаю iplir, однако после этого пинги на 192.168.0.100 все ровно бегут. Что не так? Может какую ещё службу надо перестартовать? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
ingenico Опубликовано 26 Февраля 2016 Жалоба Поделиться Опубликовано 26 Февраля 2016 Ничего кроме iplir перезапускать не нужно. Может с ID ошиблись? Именно 0x107d0097 указан в секции необходимого узла в iplir.conf на HW1000? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
bmm Опубликовано 1 Марта 2016 Автор Жалоба Поделиться Опубликовано 1 Марта 2016 В 26.02.2016в06:43, ingenico сказал: Ничего кроме iplir перезапускать не нужно. Может с ID ошиблись? Именно 0x107d0097 указан в секции необходимого узла в iplir.conf на HW1000? Не, с ID не ошибся, если что это ID программного клиента. Пробовал правила по разному прописывать, и разрешать только на определенный IP, и вообще все запрещать со всех узлов, все ровно пропускает, такое ощущение что правила вообще не применяются. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
ingenico Опубликовано 1 Марта 2016 Жалоба Поделиться Опубликовано 1 Марта 2016 Проверил у себя специально. ViPNet Coordinator Linux v.3.7.5(6980) Аналогичное блокирующее правило по идентификатору работает нормально. Доступ к туннелируемому адресу пропадает. В журнале пакетов на Координаторе событие 37 (IP packet is blocked by tunnel filter). Секция firewall.conf должна называться [tunnel]. Проверьте. А то у вас в первом посте неверное название секции указано. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
bmm Опубликовано 1 Марта 2016 Автор Жалоба Поделиться Опубликовано 1 Марта 2016 В firewall.conf секция [tunnel], в первом посте просто описался, вы идентификатор указывали железного пака или программного клиента который хотите блокировать, просто у меня программный клиент. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
ingenico Опубликовано 1 Марта 2016 Жалоба Поделиться Опубликовано 1 Марта 2016 В правиле указывается идентификатор сетевого узла, которому вы запрещаете доступ к некоему туннелируемому ресурсу. Т.е. соответственно идентификатор Клиента. И именно тот идентификатор, под которым этот самый Клиент зарегистрирован на Координаторе (секция данного Клиента в iplir.conf) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
bmm Опубликовано 2 Марта 2016 Автор Жалоба Поделиться Опубликовано 2 Марта 2016 В 01.03.2016в14:34, ingenico сказал: В правиле указывается идентификатор сетевого узла, которому вы запрещаете доступ к некоему туннелируемому ресурсу. Т.е. соответственно идентификатор Клиента. И именно тот идентификатор, под которым этот самый Клиент зарегистрирован на Координаторе (секция данного Клиента в iplir.conf) Все верно, указан идентификатор сетевого узла под которым этот самый Клиент зарегистрирован на Координаторе, однако почему то правило не срабатывает. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
ingenico Опубликовано 2 Марта 2016 Жалоба Поделиться Опубликовано 2 Марта 2016 Не знаю что и посоветовать. И pass и drop правила для туннелей у меня всегда работали нормально. Может где-то в синтаксисе ошибка? Что в журнале IP-пакетов? Вот мои вчерашние скриншоты. Закрыл доступ к туннелю 192.168.5.2 для проверки, блокирует нормально. https://yadi.sk/i/fuBpBHjTpqydu https://yadi.sk/i/UI5IYhBCpqykj Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
bmm Опубликовано 2 Марта 2016 Автор Жалоба Поделиться Опубликовано 2 Марта 2016 Кажется потихоньку начинаю понимать что у меня не так. Посмотрел журнал на координаторе, там 44 событие "осуществлена маршрутизация", программный клиент через интернет соединяется с координатором 1, далее координатор1 соединен с координатором 2, и координатор 2 с сервером который пингую. Похоже писать правила для секции [tunnel] надо на координаторе2. Придет человек который это настраивал, попытаю его, что к чему. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
ingenico Опубликовано 3 Марта 2016 Жалоба Поделиться Опубликовано 3 Марта 2016 13 часов назад, bmm сказал: Кажется потихоньку начинаю понимать что у меня не так. Посмотрел журнал на координаторе, там 44 событие "осуществлена маршрутизация", программный клиент через интернет соединяется с координатором 1, далее координатор1 соединен с координатором 2, и координатор 2 с сервером который пингую. Похоже писать правила для секции [tunnel] надо на координаторе2. Придет человек который это настраивал, попытаю его, что к чему. Все верно. Координатор-2 должен туннелировать сервер, соответственно и туннель и правило доступа к этому туннелю должны быть именно на этом координаторе. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.