Странности в работе файрвола

Обсуждение вопросов связанных с шлюзом безопасности Ideco UTM. Технические вопросы пользователей, новости от разработчиков, анонсы, обсуждения недокументированных особенностей.

Модератор: administrator

Странности в работе файрвола

Сообщение U_boat » 08 май 2019, 23:55

Доброго времени суток! Ко всем бедам с последними обновлениями заметил ещё одну.
В группе безопасности AD, импортированной на сервер, у пользователей не работает добавленное правило файрвола. Работает только наследованное от самой группы правило. У локальных групп/подгрупп/пользователей такого не заметил. При этом если группа AD не несёт никаких правил файрвола, а они применяются напрямую к пользователям, - то всё работает.
С каждым обновлением всё хуже и хуже.
----------------------------------------------------------
7.8.9 (Build 101)
Аватара пользователя
U_boat
Опытный пользователь
 
Сообщения: 127
Зарегистрирован: 29 окт 2014, 16:54

Re: Странности в работе файрвола

Сообщение ideco.dmitriy » 13 май 2019, 08:53

Добрый день!
Подскажите, пожалуйста, что за правила не работают? В них блокировка по доменам/IP-адресам или какие-то иные?
И как вы проверяете их работу? Нужно учесть, что Drop, например, не подействует на уже созданные сессии, а только на новые соединения.
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 2052
Зарегистрирован: 11 мар 2014, 08:43

Re: Странности в работе файрвола

Сообщение U_boat » 13 май 2019, 09:23

Существует группа импортированная из AD. Группа имеет правила: 1разрешать tcp 80, 443 везде; 2 deny any any. В группе есть пользователи, импортируемые из AD, правило применяется к ним по наследованию, всё работает. Из 560 пользователей, которым достаточно данного правила, есть 40, которым необходимы дополнительные порты. Для них созданы правила, разрешающие эти порты. Эти правила назначены соответствующим пользователям. Все они работали до последних обновлений. С недавних пор выяснилось, что это больше не так. Они теперь просто перестали работать. Если эти правила, без каких либо изменений, применять теперь всей группе AD - всё снова работает. Но тогда это по наследованию распространяется на всех пользователей группы AD, что противоречит политике безопасности предприятия. В настоящий момент создана ещё одна группа безопасности AD, куда перемещены все пользователи, требующие дополнительных правил. Эта группа не несёт никаких собственных правил файрвола. В ней все те же правила что и раньше, без каких либо изменений применяется к пользователям напрямую без наследования от группы. Всё снова работает. Но это создаёт дополнительные сложности в администрировании. Также повторюсь, данная проблема не распространяется на локальные (не AD) группы. Все пользователи в обеих группах AD подключаются к ideco по pptp и получают доступ в Интернет.
----------------------------------------------------------
7.8.9 (Build 101)
Аватара пользователя
U_boat
Опытный пользователь
 
Сообщения: 127
Зарегистрирован: 29 окт 2014, 16:54

Re: Странности в работе файрвола

Сообщение ideco.dmitriy » 13 май 2019, 13:14

Понял, спасибо за разъяснение.
В версии 7.9.0 файервол полностью переписан (включая интерфейс), таких проблем в нем не будет, протестируем ваш кейс обязательно дополнительно.
Аватара пользователя
ideco.dmitriy
Админ всея сети
 
Сообщения: 2052
Зарегистрирован: 11 мар 2014, 08:43

Re: Странности в работе файрвола

Сообщение U_boat » 13 май 2019, 14:03

Понял, будем ждать обновления и также тестировать.
----------------------------------------------------------
7.8.9 (Build 101)
Аватара пользователя
U_boat
Опытный пользователь
 
Сообщения: 127
Зарегистрирован: 29 окт 2014, 16:54


Вернуться в Шлюз безопасности Ideco UTM 7.x

Кто сейчас на конференции

Сейчас этот форум просматривают: Bing [Bot] и гости: 3