VipNet HW1000 настройка правил в firewall.conf

[bmm]

Всем привет!

В файле firewall.conf в секции tunell прописываю правило запрещающее прохождение пакетов от определенного узла на определенный адрес:

rule= num 1 proto any from 0x107d0097 to 192.168.0.100 drop

rule= num 2 proto any from 192.168.0.100 to 0x107d0097 drop

Запускаю iplir, однако после этого пинги на 192.168.0.100 все ровно бегут.

Что не так? Может какую ещё  службу надо перестартовать?

[ingenico]

Ничего кроме iplir перезапускать не нужно. Может с ID ошиблись? Именно  0x107d0097  указан в секции необходимого узла в iplir.conf на HW1000?

[bmm]

В 26.02.2016в06:43, ingenico сказал:

Ничего кроме iplir перезапускать не нужно. Может с ID ошиблись? Именно  0x107d0097  указан в секции необходимого узла в iplir.conf на HW1000?

Не, с ID не ошибся, если что это ID программного клиента.  Пробовал правила по разному прописывать, и разрешать только на определенный IP, и вообще все запрещать со всех узлов, все ровно  пропускает, такое ощущение что правила вообще не применяются.

[ingenico]

Проверил у себя специально.

ViPNet Coordinator Linux v.3.7.5(6980)

Аналогичное блокирующее правило по идентификатору работает нормально. Доступ к туннелируемому адресу пропадает. В журнале пакетов на Координаторе событие 37 (IP packet is blocked by tunnel filter).

 

Секция firewall.conf должна называться [tunnel].

Проверьте. А то у вас в первом посте неверное название секции указано.

[bmm]

В  firewall.conf секция [tunnel], в первом посте просто описался, вы идентификатор указывали железного пака или программного клиента который хотите блокировать, просто у меня программный клиент.

[ingenico]

В правиле указывается идентификатор сетевого узла, которому вы запрещаете доступ к некоему туннелируемому ресурсу. Т.е. соответственно идентификатор Клиента. И именно тот идентификатор, под которым этот самый Клиент зарегистрирован на Координаторе (секция данного Клиента в iplir.conf)

[bmm]

В 01.03.2016в14:34, ingenico сказал:

В правиле указывается идентификатор сетевого узла, которому вы запрещаете доступ к некоему туннелируемому ресурсу. Т.е. соответственно идентификатор Клиента. И именно тот идентификатор, под которым этот самый Клиент зарегистрирован на Координаторе (секция данного Клиента в iplir.conf)

Все верно, указан идентификатор сетевого узла под которым этот самый Клиент зарегистрирован на Координаторе, однако почему то  правило не срабатывает.

[ingenico]

Не знаю что и посоветовать. И pass и drop правила для туннелей у меня всегда работали нормально.

Может где-то в синтаксисе ошибка?

Что в журнале IP-пакетов?

 

Вот мои вчерашние скриншоты. Закрыл доступ к туннелю 192.168.5.2 для проверки, блокирует нормально.

https://yadi.sk/i/fuBpBHjTpqydu

https://yadi.sk/i/UI5IYhBCpqykj

 

 

[bmm]

Кажется потихоньку начинаю понимать что у меня не так. Посмотрел журнал на координаторе, там 44 событие "осуществлена маршрутизация", программный клиент через интернет соединяется с координатором 1, далее  координатор1 соединен с координатором 2, и координатор 2 с сервером который пингую. Похоже писать правила для секции [tunnel] надо на координаторе2.  Придет человек который это настраивал, попытаю его, что к чему.

[ingenico]

13 часов назад, bmm сказал:

Кажется потихоньку начинаю понимать что у меня не так. Посмотрел журнал на координаторе, там 44 событие "осуществлена маршрутизация", программный клиент через интернет соединяется с координатором 1, далее  координатор1 соединен с координатором 2, и координатор 2 с сервером который пингую. Похоже писать правила для секции [tunnel] надо на координаторе2.  Придет человек который это настраивал, попытаю его, что к чему.

Все верно. Координатор-2 должен туннелировать сервер, соответственно и туннель и правило доступа к этому туннелю должны быть именно на этом координаторе.