Проброс порта программы в IDECO

Обсуждение вопросов связанных с шлюзом безопасности Ideco UTM. Технические вопросы пользователей, новости от разработчиков, анонсы, обсуждения недокументированных особенностей.

Модератор: administrator

Проброс порта программы в IDECO

Сообщение Алекс35 » 22 авг 2018, 15:23

Добрый день.
Имеется такое ПО как "Справочник сертификатов АПК ММВБ 2.0".
Этому "Справочнику" необходимо связываться с vcert.pki.moex.com по порту 50001. Но через прокси он работать не умеет, поэтому приходится вбивать ему адрес ldap://192.168.0.253:50001/C=RU и на самом прокси (Usergate UTM 6) делать перенаправление этого порта на нужный адрес.
Как сделать тот же самый фокус на IDECO 7.x? Весь день мучаюсь уже.
Алекс35
Пользователь
 
Сообщения: 35
Зарегистрирован: 22 авг 2018, 15:03

Re: Проброс порта программы в IDECO

Сообщение ideco.dmitriy » 22 авг 2018, 16:14

Добрый день!
Проброс портов можно сделать аналогично с помощью системного файервола:
https://doc.ideco.ru/pages/viewpage.act ... Id=1278141
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 2059
Зарегистрирован: 11 мар 2014, 08:43

Re: Проброс порта программы в IDECO

Сообщение Алекс35 » 22 авг 2018, 16:29

Прочитал. Но не очень понял, как и зачем это всё реализуется.
Как настроить правило DNAT для подключения на внешний адрес из локальной сети?
Рассмотренные выше примеры, работают только при подключении из сети Интернет. Для того, чтобы из локальной сети тоже можно было подключаться на внешний IP-адрес необходимо:

1. На локальной сетевой карте сервера Ideco настроить дополнительный IP-адрес из непересекающейся сети, например, если основной адрес 192.168.0.1/255.255.255.0, то в качестве дополнительного можно использовать 172.16.1.1/255.255.255.0.
2. На сервере (для такого проброса выделять сервер в локальной сети?) в локальной сети настроить адрес из дополнительной сети, например, 172.16.1.10/255.255.255.0 не пересекающейся с остальной локальной сетью. Настройка сервера таким образом необходима во избежание появления "треугольной маршрутизации" и принудит клиентов локальной сети работать с сервером исключительно посредством шлюза Ideco ICS.
3. Настроить авторизацию по IP для сервера по заданному ему IP-адресу (172.16.1.10).
4. Создать правило трансляции портов (DNAT) в разделе Безопасность -> Системный файрвол административного веб-интерфейса сервера.


Сделал вот так:
2018-08-22_15-16-25.png
2018-08-22_15-16-25.png (20.05 КБ) Просмотров: 815

В итоге даже в списке авторизованных клиентов сервер с этим ПО не появляется (на самом сервере настроек прокси нет, доступ в инет ему не нужен).
Алекс35
Пользователь
 
Сообщения: 35
Зарегистрирован: 22 авг 2018, 15:03

Re: Проброс порта программы в IDECO

Сообщение ideco.dmitriy » 22 авг 2018, 17:22

В списке авторизованных из-за правила DNAT сервер и не появится. Нужно его авторизовать отдельно (даже если ему не нужен Интернет, создав такого пользователя и поставив флажек "Постоянно авторизован").

Я не совсем понимаю зачем в этой ситуации проброс портов (получается обратный проброс нужен).
Не проще ли настроить маршрут на вашем компьютере где расположен справочник для назначения vcert.pki.moex.com, через Ideco UTM?
Тогда нужно только авторизовать его на сервере и он получит доступ куда нужно.

Если шлюз на нем не будет прописан, то остальной трафик в Интернет не пойдет. Либо для безопасности можно файеролом ограничить ему доступ только до этого ресурса.
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 2059
Зарегистрирован: 11 мар 2014, 08:43

Re: Проброс порта программы в IDECO

Сообщение Алекс35 » 23 авг 2018, 13:33

Всё равно что-то не получается...

Вот так всё реализуется в USergate, всего одной настройкой:
2018-08-23_12-25-25.png
Usergate
2018-08-23_12-25-25.png (5.41 КБ) Просмотров: 800

2018-08-23_12-26-17.png
Usergate 2
2018-08-23_12-26-17.png (2.67 КБ) Просмотров: 800


А вот так я сделал через настройку маршрута:
2018-08-23_12-27-02.png
IDECO
2018-08-23_12-27-02.png (16.34 КБ) Просмотров: 800


Что я делаю не так? Особого опыта в настройке сетевых параметров у меня нет...
Алекс35
Пользователь
 
Сообщения: 35
Зарегистрирован: 22 авг 2018, 15:03

Re: Проброс порта программы в IDECO

Сообщение ideco.dmitriy » 23 авг 2018, 13:38

Маршрут нужно настраивать не на Ideco ICS (UTM), а на клиенте.
На шлюзе нужно удалить этот маршрут, он только будет мешать.
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 2059
Зарегистрирован: 11 мар 2014, 08:43

Re: Проброс порта программы в IDECO

Сообщение Алекс35 » 23 авг 2018, 18:13

Ничего, в общем, так и не получилось.
Решил попробовать через Proxifier пустить приложение. Сам "Справочник" пошёл на ура. Проблема возникла в другом и в другой программе: настройл в Proxifier'e абсолютно одинаковые правила на старый прокси и на IDECO, пустил трафик от ПО "Файловый шлюз" (ПО от НРД для электронного документооборота). В итоге через старый прокси опять всё нормально, а через IDECO не идёт обмен. В ТП разработчиков говорят, что на IDECO закрыт порт 443, хотя он явно указан в разрешённых. То есть, каким-то образом отсекается трафик от этой программы на 443-й порт... Я уже совсем закипел, если честно.
Алекс35
Пользователь
 
Сообщения: 35
Зарегистрирован: 22 авг 2018, 15:03

Re: Проброс порта программы в IDECO

Сообщение ideco.dmitriy » 24 авг 2018, 08:53

А вы пробовали на компьютере добавить маршрут к этому ресурсу через шлюз Ideco UTM?
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 2059
Зарегистрирован: 11 мар 2014, 08:43

Re: Проброс порта программы в IDECO

Сообщение Алекс35 » 24 авг 2018, 10:36

Разбираюсь, как это сделать. Однако, на прокси Usergate всё работает без этих шаманств.
Алекс35
Пользователь
 
Сообщения: 35
Зарегистрирован: 22 авг 2018, 15:03

Re: Проброс порта программы в IDECO

Сообщение ideco.dmitriy » 24 авг 2018, 11:00

Скорее всего подойдет такой маршрут:
route –p add 91.208.232.11 mask 255.255.255.255 10.117.240.252

Где 10.117.240.252 - адрес Ideco ICS (может быть у вас другой).
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 2059
Зарегистрирован: 11 мар 2014, 08:43

След.

Вернуться в Шлюз безопасности Ideco UTM 7.x

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1