Jump to content
  • 0

отработка firewall на тоннельных интерфейсах после обновления с 2.12.C.1.0-3 до 2.13.C.0.0-3


kersantinov

Question

Обовил гигу 3 с 2.12.C.1.0-3 до 2.13.C.0.0-3
Изменилось поведение firewall.

Есть ISP подключение 1, ISP подключение 2, LAN 10.10.11.0/24 и несколько IPSec
ISP1 и ISP2 - старый и новый провайдеры, ISP1 сейчас отключен физически от порта.

С давних времени времен есть проброс портов с ограничением по IP
В переадресации на интерфейсе ISP1 tcp/9776-9786 to 10.10.11.2
В переадресации на интерфейсе ISP2 tcp/9776-9786 to 10.10.11.2

В сетевом экране интерфейсе ISP1 разрешено tcp/9776-9786 с нужного IP.
В сетевом экране интерфейсе ISP1 запрещено tcp/9776-9786 с любого ардеса.

(1) В сетевом экране интерфейсе ISP2 разрешено tcp/9776-9786 с нужного IP.
(2) В сетевом экране интерфейсе ISP2 запрещено tcp/9776-9786 с любого ардеса.

При этом раньше через ипсек я всегда мог ходить до 10.10.11.2 tcp/9776-9786

После обновления - отлуп. Для доступа через IPSec нужно прописать еще одно правило на интерфейсе ISP2, между (1) и (2), разрешающее доступ из удаленной подсети на той стороне IPSec.

Это баг или фича?
Может стоить дать возможность правила для тоннельных интерфейсов указывать отдельно? 

Link to comment
Share on other sites

5 answers to this question

Recommended Posts

  • 0
2 часа назад, kersantinov сказал:

Обовил гигу 3 с 2.12.C.1.0-3 до 2.13.C.0.0-3
Изменилось поведение firewall.

Есть ISP подключение 1, ISP подключение 2, LAN 10.10.11.0/24 и несколько IPSec
ISP1 и ISP2 - старый и новый провайдеры, ISP1 сейчас отключен физически от порта.

С давних времени времен есть проброс портов с ограничением по IP
В переадресации на интерфейсе ISP1 tcp/9776-9786 to 10.10.11.2
В переадресации на интерфейсе ISP2 tcp/9776-9786 to 10.10.11.2

В сетевом экране интерфейсе ISP1 разрешено tcp/9776-9786 с нужного IP.
В сетевом экране интерфейсе ISP1 запрещено tcp/9776-9786 с любого ардеса.

(1) В сетевом экране интерфейсе ISP2 разрешено tcp/9776-9786 с нужного IP.
(2) В сетевом экране интерфейсе ISP2 запрещено tcp/9776-9786 с любого ардеса.

При этом раньше через ипсек я всегда мог ходить до 10.10.11.2 tcp/9776-9786

После обновления - отлуп. Для доступа через IPSec нужно прописать еще одно правило на интерфейсе ISP2, между (1) и (2), разрешающее доступ из удаленной подсети на той стороне IPSec.

Это баг или фича?
Может стоить дать возможность правила для тоннельных интерфейсов указывать отдельно? 

2.13 все. Ничего там исправляться не будет.

Проверяйте на 2.14 или (еще лучше) на 2.15.

Link to comment
Share on other sites

  • 0
19 минут назад, kersantinov сказал:

т.е. описанное мной поведение - не стандартное? Ок, принято.

Проверю на 14, 15 боязно ставить - железка далеко физически :)

Насчет поведения непонятно, но даже если это и баг - с 2.13 разбираться не будем :) Потому лучше сразу это решить на актуальном ПО.

Прошивки 2.12, 2.13 являются "проходными". На них не остается никаких устройств ни в каких песочницах. Потому после выпуска следующего stable, они становятся полностью неподдерживаемыми.

  • Thanks 1
Link to comment
Share on other sites

  • 0
В 07.12.2018 в 14:35, Le ecureuil сказал:

Насчет поведения непонятно, но даже если это и баг - с 2.13 разбираться не будем :) Потому лучше сразу это решить на актуальном ПО.

Прошивки 2.12, 2.13 являются "проходными". На них не остается никаких устройств ни в каких песочницах. Потому после выпуска следующего stable, они становятся полностью неподдерживаемыми.

Доброго дня. Хочу вернуться к своим баранам)

Поведение все то-же и на 2.15.C.5.0-0

2019-08-28_11-15-25.thumb.png.e105f7ac9c3aa8f46cc28f7ccee410fa.png

Правила на вкладке ISP режут так-же и трафик на IPSec соединении. Что вроде-бы и логично, так как отдельной вкладки для правил на IPSec соединения в межсетевом экране нет.

Т.е. если прописать 2 данных правила, телефоны за IPSec отпадут, так как udp/5060 будет заблокирован, дополнительно прописываю разрешающие правила для всех подсетей за IPSec.

Баг\фича?   

 

Edited by kersantinov
Link to comment
Share on other sites

  • 0
В 28.08.2019 в 09:21, kersantinov сказал:

Доброго дня. Хочу вернуться к своим баранам)

Поведение все то-же и на 2.15.C.5.0-0

2019-08-28_11-15-25.thumb.png.e105f7ac9c3aa8f46cc28f7ccee410fa.png

Правила на вкладке ISP режут так-же и трафик на IPSec соединении. Что вроде-бы и логично, так как отдельной вкладки для правил на IPSec соединения в межсетевом экране нет.

Т.е. если прописать 2 данных правила, телефоны за IPSec отпадут, так как udp/5060 будет заблокирован, дополнительно прописываю разрешающие правила для всех подсетей за IPSec.

Баг\фича?   

 

Скорее фича.

Поскольку у IPsec нет интерфейсов, то его фильтрация возможна только в таком виде (

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...