Jump to content

Recommended Posts

Всем привет!

В файле firewall.conf в секции tunell прописываю правило запрещающее прохождение пакетов от определенного узла на определенный адрес:

rule= num 1 proto any from 0x107d0097 to 192.168.0.100 drop

rule= num 2 proto any from 192.168.0.100 to 0x107d0097 drop

Запускаю iplir, однако после этого пинги на 192.168.0.100 все ровно бегут.

Что не так? Может какую ещё  службу надо перестартовать?

Share this post


Link to post
Share on other sites

Ничего кроме iplir перезапускать не нужно. Может с ID ошиблись? Именно  0x107d0097  указан в секции необходимого узла в iplir.conf на HW1000?

Share this post


Link to post
Share on other sites
В 26.02.2016в06:43, ingenico сказал:

Ничего кроме iplir перезапускать не нужно. Может с ID ошиблись? Именно  0x107d0097  указан в секции необходимого узла в iplir.conf на HW1000?

Не, с ID не ошибся, если что это ID программного клиента.  Пробовал правила по разному прописывать, и разрешать только на определенный IP, и вообще все запрещать со всех узлов, все ровно  пропускает, такое ощущение что правила вообще не применяются.

Share this post


Link to post
Share on other sites

Проверил у себя специально.

ViPNet Coordinator Linux v.3.7.5(6980)

Аналогичное блокирующее правило по идентификатору работает нормально. Доступ к туннелируемому адресу пропадает. В журнале пакетов на Координаторе событие 37 (IP packet is blocked by tunnel filter).

 

Секция firewall.conf должна называться [tunnel].

Проверьте. А то у вас в первом посте неверное название секции указано.

Share this post


Link to post
Share on other sites

В  firewall.conf секция [tunnel], в первом посте просто описался, вы идентификатор указывали железного пака или программного клиента который хотите блокировать, просто у меня программный клиент.

Share this post


Link to post
Share on other sites

В правиле указывается идентификатор сетевого узла, которому вы запрещаете доступ к некоему туннелируемому ресурсу. Т.е. соответственно идентификатор Клиента. И именно тот идентификатор, под которым этот самый Клиент зарегистрирован на Координаторе (секция данного Клиента в iplir.conf)

Share this post


Link to post
Share on other sites
В 01.03.2016в14:34, ingenico сказал:

В правиле указывается идентификатор сетевого узла, которому вы запрещаете доступ к некоему туннелируемому ресурсу. Т.е. соответственно идентификатор Клиента. И именно тот идентификатор, под которым этот самый Клиент зарегистрирован на Координаторе (секция данного Клиента в iplir.conf)

Все верно, указан идентификатор сетевого узла под которым этот самый Клиент зарегистрирован на Координаторе, однако почему то  правило не срабатывает.

Share this post


Link to post
Share on other sites

Не знаю что и посоветовать. И pass и drop правила для туннелей у меня всегда работали нормально.

Может где-то в синтаксисе ошибка?

Что в журнале IP-пакетов?

 

Вот мои вчерашние скриншоты. Закрыл доступ к туннелю 192.168.5.2 для проверки, блокирует нормально.

https://yadi.sk/i/fuBpBHjTpqydu

https://yadi.sk/i/UI5IYhBCpqykj

 

 

Share this post


Link to post
Share on other sites

Кажется потихоньку начинаю понимать что у меня не так. Посмотрел журнал на координаторе, там 44 событие "осуществлена маршрутизация", программный клиент через интернет соединяется с координатором 1, далее  координатор1 соединен с координатором 2, и координатор 2 с сервером который пингую. Похоже писать правила для секции [tunnel] надо на координаторе2.  Придет человек который это настраивал, попытаю его, что к чему.

Share this post


Link to post
Share on other sites
13 часов назад, bmm сказал:

Кажется потихоньку начинаю понимать что у меня не так. Посмотрел журнал на координаторе, там 44 событие "осуществлена маршрутизация", программный клиент через интернет соединяется с координатором 1, далее  координатор1 соединен с координатором 2, и координатор 2 с сервером который пингую. Похоже писать правила для секции [tunnel] надо на координаторе2.  Придет человек который это настраивал, попытаю его, что к чему.

Все верно. Координатор-2 должен туннелировать сервер, соответственно и туннель и правило доступа к этому туннелю должны быть именно на этом координаторе.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×

Important Information

By using this site, you agree to our Terms of Use.