Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Где взять тестовые сборки
Официальное хранилище ПО в виде файлов
  • 0

отработка firewall на тоннельных интерфейсах после обновления с 2.12.C.1.0-3 до 2.13.C.0.0-3

kersantinov

Ответ от kersantinov,

 Поделиться

Вопрос

kersantinov Пользователь

kersantinov

Опубликовано
Опубликовано

Обовил гигу 3 с 2.12.C.1.0-3 до 2.13.C.0.0-3
Изменилось поведение firewall.

Есть ISP подключение 1, ISP подключение 2, LAN 10.10.11.0/24 и несколько IPSec
ISP1 и ISP2 - старый и новый провайдеры, ISP1 сейчас отключен физически от порта.

С давних времени времен есть проброс портов с ограничением по IP
В переадресации на интерфейсе ISP1 tcp/9776-9786 to 10.10.11.2
В переадресации на интерфейсе ISP2 tcp/9776-9786 to 10.10.11.2

В сетевом экране интерфейсе ISP1 разрешено tcp/9776-9786 с нужного IP.
В сетевом экране интерфейсе ISP1 запрещено tcp/9776-9786 с любого ардеса.

(1) В сетевом экране интерфейсе ISP2 разрешено tcp/9776-9786 с нужного IP.
(2) В сетевом экране интерфейсе ISP2 запрещено tcp/9776-9786 с любого ардеса.

При этом раньше через ипсек я всегда мог ходить до 10.10.11.2 tcp/9776-9786

После обновления - отлуп. Для доступа через IPSec нужно прописать еще одно правило на интерфейсе ISP2, между (1) и (2), разрешающее доступ из удаленной подсети на той стороне IPSec.

Это баг или фича?
Может стоить дать возможность правила для тоннельных интерфейсов указывать отдельно? 

5 ответов на этот вопрос

Рекомендуемые сообщения

  • 0
Le ecureuil Старожил

Le ecureuil

Опубликовано
Опубликовано
2 часа назад, kersantinov сказал:

Обовил гигу 3 с 2.12.C.1.0-3 до 2.13.C.0.0-3
Изменилось поведение firewall.

Есть ISP подключение 1, ISP подключение 2, LAN 10.10.11.0/24 и несколько IPSec
ISP1 и ISP2 - старый и новый провайдеры, ISP1 сейчас отключен физически от порта.

С давних времени времен есть проброс портов с ограничением по IP
В переадресации на интерфейсе ISP1 tcp/9776-9786 to 10.10.11.2
В переадресации на интерфейсе ISP2 tcp/9776-9786 to 10.10.11.2

В сетевом экране интерфейсе ISP1 разрешено tcp/9776-9786 с нужного IP.
В сетевом экране интерфейсе ISP1 запрещено tcp/9776-9786 с любого ардеса.

(1) В сетевом экране интерфейсе ISP2 разрешено tcp/9776-9786 с нужного IP.
(2) В сетевом экране интерфейсе ISP2 запрещено tcp/9776-9786 с любого ардеса.

При этом раньше через ипсек я всегда мог ходить до 10.10.11.2 tcp/9776-9786

После обновления - отлуп. Для доступа через IPSec нужно прописать еще одно правило на интерфейсе ISP2, между (1) и (2), разрешающее доступ из удаленной подсети на той стороне IPSec.

Это баг или фича?
Может стоить дать возможность правила для тоннельных интерфейсов указывать отдельно? 

2.13 все. Ничего там исправляться не будет.

Проверяйте на 2.14 или (еще лучше) на 2.15.

  • 0
Le ecureuil Старожил

Le ecureuil

Опубликовано
Опубликовано
19 минут назад, kersantinov сказал:

т.е. описанное мной поведение - не стандартное? Ок, принято.

Проверю на 14, 15 боязно ставить - железка далеко физически :)

Насчет поведения непонятно, но даже если это и баг - с 2.13 разбираться не будем :) Потому лучше сразу это решить на актуальном ПО.

Прошивки 2.12, 2.13 являются "проходными". На них не остается никаких устройств ни в каких песочницах. Потому после выпуска следующего stable, они становятся полностью неподдерживаемыми.

  • Спасибо 1
  • 0
kersantinov Пользователь

kersantinov

Опубликовано
  • Автор
Опубликовано (изменено)
В 07.12.2018 в 14:35, Le ecureuil сказал:

Насчет поведения непонятно, но даже если это и баг - с 2.13 разбираться не будем :) Потому лучше сразу это решить на актуальном ПО.

Прошивки 2.12, 2.13 являются "проходными". На них не остается никаких устройств ни в каких песочницах. Потому после выпуска следующего stable, они становятся полностью неподдерживаемыми.

Доброго дня. Хочу вернуться к своим баранам)

Поведение все то-же и на 2.15.C.5.0-0

2019-08-28_11-15-25.thumb.png.e105f7ac9c3aa8f46cc28f7ccee410fa.png

Правила на вкладке ISP режут так-же и трафик на IPSec соединении. Что вроде-бы и логично, так как отдельной вкладки для правил на IPSec соединения в межсетевом экране нет.

Т.е. если прописать 2 данных правила, телефоны за IPSec отпадут, так как udp/5060 будет заблокирован, дополнительно прописываю разрешающие правила для всех подсетей за IPSec.

Баг\фича?   

 

Изменено пользователем kersantinov
  • 0
Le ecureuil Старожил

Le ecureuil

Опубликовано
Опубликовано
В 28.08.2019 в 09:21, kersantinov сказал:

Доброго дня. Хочу вернуться к своим баранам)

Поведение все то-же и на 2.15.C.5.0-0

2019-08-28_11-15-25.thumb.png.e105f7ac9c3aa8f46cc28f7ccee410fa.png

Правила на вкладке ISP режут так-же и трафик на IPSec соединении. Что вроде-бы и логично, так как отдельной вкладки для правил на IPSec соединения в межсетевом экране нет.

Т.е. если прописать 2 данных правила, телефоны за IPSec отпадут, так как udp/5060 будет заблокирован, дополнительно прописываю разрешающие правила для всех подсетей за IPSec.

Баг\фича?   

 

Скорее фича.

Поскольку у IPsec нет интерфейсов, то его фильтрация возможна только в таком виде (

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить на вопрос...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку вопросов

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю