Перейти к содержанию

Recommended Posts

Aarony

Всем привет и с Новым годом!

Суть: На одной машине (1) установлен SEPM (OS - W2k3), на ней же управляемый клиент. На второй (2) (WinXP SP3) еще один упр. клиент. 2 ПК в отдельной группе без наследования политик, клиент в смешаном режиме управления. Созданы правила фаера на клиенте запрета и блока тех или иных приложений. В частности, имеется скайп и куип, для которых созданы идентичные правила с записью в журнал траффика. В политиках, настроенных для группы с консоли управления, эти 2 приложения также присутствуют под синей линией и тоже с записью в журнал траффа. Конечное правило блокирует любой трафф, оно ессно в самом низу. Работа с внешкой через прокси.

Результат:

1. Скайп работает без проблем, куип не может соединиться с внешкой.

2. При отключении фаера все работает, значит проблема в некорректном описании правил(а).

3. В журнале видно, что куип блокирован правилом GUI%GUICONFIG#SRULE@ADVRULECONFIG#Normal_112.

4. При отключении политик для группы из консоли запись в журнал траффа прекращается, хотя на самом клиенте чек-бокс взведен.

Вопрос: Как найти это правило и почему прекращается запись в журнал в соответствии с п.4?

Опыт настройки фаера от NIS до SCS имею, настраиваю без проблем. Так что понимание работы фаера есть. Непонятно как в SEP отрабатыается последовательность политик для группы и локальных правил на клиенте. Руководство админа под руками постоянно. Однако прошу не пинать если что-то пропустил в нем или на форуме, вроде прошерстил все (или почти все) относительно SEPа...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Файерволл работает в SEP без особых проблем. Использую, но на 11.0.4202. Главное понимать различие между local\remote и source\dest.

Правило с номером 112 есть?

Для решения затыков в каком бы то ни было файрволле я поступаю одним из следующих образов (если правила не прозрачны):

1) Делаю запрещающее правило (block from any to any) с логированием всего запрещенного и двигаю его по номерам от последнего к первому.

2) Делаю разрешающее правило (allow from any to any) опять же с логированием всех пакетов и опять же двигаю по номерам от последнего к первому.

Так как правила сугубо индивидуальны, попробуйте сделать тоже самое.

Можно попробовать описать трафик мессенджера и подвигать его.

Учтите, что если файерволл на проксе - тут понадобятся дополнительные правила типа петли между фейсами.

P.S. еще учтите, что после получения политики с сервера - правила обновляются не сразу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Aarony
Файерволл работает в SEP без особых проблем. Использую, но на 11.0.4202. Главное понимать различие между local\remote и source\dest.

Это понимание есть. SCS конфигурю почти с закрытыми глазами, так что базовые знания есть.

Правило с номером 112 есть?

А вот это и есть мой вопрос - где увидеть правило под таким номером? Или под № 107, 105... У меня локальные правила имеют вполне осмысленные имена. Как, впрочем, и правила в консоли (их там 21 строка всех, локальных тоже не более 2-х десятков). В этом и непонятка для меня - нумерация это по канонам SEP или мож ID какие? И где енто все увидеть.

Для решения затыков в каком бы то ни было файрволле я поступаю одним из следующих образов (если правила не прозрачны):

1) Делаю запрещающее правило (block from any to any) с логированием всего запрещенного и двигаю его по номерам от последнего к первому.

2) Делаю разрешающее правило (allow from any to any) опять же с логированием всех пакетов и опять же двигаю по номерам от последнего к первому.

Так как правила сугубо индивидуальны, попробуйте сделать тоже самое.

Это понятно, No Comments... Непонятно как соотносятся правила для группы (созданные в консоли) с правилами, созданными на локальной машине. Что-то должно иметь приоритет...

Можно попробовать описать трафик мессенджера и подвигать его.

Учтите, что если файерволл на проксе - тут понадобятся дополнительные правила типа петли между фейсами.

P.S. еще учтите, что после получения политики с сервера - правила обновляются не сразу.

С мессенджером вроде решил проблему и вроде понял где ошибка. Проверяю в данный момент. Политики с сервака применяются к клиенту секунд через 40 максимум, проверял в течение дня. Мож пока пара клиентов так быстро. Но это все только примерка и изучение. Как только будет до конца ясен механизм работы, тады и встанет вопрос о покупке конкретной версии и т.д. :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

1. Правила имеют нумерацию. Самая левая графа :) Может, они?

2. Насколько помню навскидку, в документации написано что правила сервера заменяют правила клиента при "server control" режиме.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Aarony
1. Правила имеют нумерацию. Самая левая графа :) Может, они?

2. Насколько помню навскидку, в документации написано что правила сервера заменяют правила клиента при "server control" режиме.

Не похоже, в консоли сейчас у меня 21 правило (нумерация в столбце слева), к тому же я их временно вырубил для прояснения обстановки. А на клиенте вообще нумерации правил нема... Доки покопаю в обязалово, вроде тоже читал где-то. Проблему с куипом решил, нашел ошибку в созданом ДО НЕГО правиле на клиенте. Собственная невнимательность... Ну эт бывает при изучении новых продуктов. Остается вопрос с номером правил, мож и подскажет кто. В базе знаний не нашел поиском, могет быть пока... Спасибо Shell!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

×