Перейти к содержанию

Recommended Posts

Aarony

Всем привет и с Новым годом!

Суть: На одной машине (1) установлен SEPM (OS - W2k3), на ней же управляемый клиент. На второй (2) (WinXP SP3) еще один упр. клиент. 2 ПК в отдельной группе без наследования политик, клиент в смешаном режиме управления. Созданы правила фаера на клиенте запрета и блока тех или иных приложений. В частности, имеется скайп и куип, для которых созданы идентичные правила с записью в журнал траффика. В политиках, настроенных для группы с консоли управления, эти 2 приложения также присутствуют под синей линией и тоже с записью в журнал траффа. Конечное правило блокирует любой трафф, оно ессно в самом низу. Работа с внешкой через прокси.

Результат:

1. Скайп работает без проблем, куип не может соединиться с внешкой.

2. При отключении фаера все работает, значит проблема в некорректном описании правил(а).

3. В журнале видно, что куип блокирован правилом GUI%GUICONFIG#[email protected]#Normal_112.

4. При отключении политик для группы из консоли запись в журнал траффа прекращается, хотя на самом клиенте чек-бокс взведен.

Вопрос: Как найти это правило и почему прекращается запись в журнал в соответствии с п.4?

Опыт настройки фаера от NIS до SCS имею, настраиваю без проблем. Так что понимание работы фаера есть. Непонятно как в SEP отрабатыается последовательность политик для группы и локальных правил на клиенте. Руководство админа под руками постоянно. Однако прошу не пинать если что-то пропустил в нем или на форуме, вроде прошерстил все (или почти все) относительно SEPа...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

Файерволл работает в SEP без особых проблем. Использую, но на 11.0.4202. Главное понимать различие между local\remote и source\dest.

Правило с номером 112 есть?

Для решения затыков в каком бы то ни было файрволле я поступаю одним из следующих образов (если правила не прозрачны):

1) Делаю запрещающее правило (block from any to any) с логированием всего запрещенного и двигаю его по номерам от последнего к первому.

2) Делаю разрешающее правило (allow from any to any) опять же с логированием всех пакетов и опять же двигаю по номерам от последнего к первому.

Так как правила сугубо индивидуальны, попробуйте сделать тоже самое.

Можно попробовать описать трафик мессенджера и подвигать его.

Учтите, что если файерволл на проксе - тут понадобятся дополнительные правила типа петли между фейсами.

P.S. еще учтите, что после получения политики с сервера - правила обновляются не сразу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Aarony
Файерволл работает в SEP без особых проблем. Использую, но на 11.0.4202. Главное понимать различие между local\remote и source\dest.

Это понимание есть. SCS конфигурю почти с закрытыми глазами, так что базовые знания есть.

Правило с номером 112 есть?

А вот это и есть мой вопрос - где увидеть правило под таким номером? Или под № 107, 105... У меня локальные правила имеют вполне осмысленные имена. Как, впрочем, и правила в консоли (их там 21 строка всех, локальных тоже не более 2-х десятков). В этом и непонятка для меня - нумерация это по канонам SEP или мож ID какие? И где енто все увидеть.

Для решения затыков в каком бы то ни было файрволле я поступаю одним из следующих образов (если правила не прозрачны):

1) Делаю запрещающее правило (block from any to any) с логированием всего запрещенного и двигаю его по номерам от последнего к первому.

2) Делаю разрешающее правило (allow from any to any) опять же с логированием всех пакетов и опять же двигаю по номерам от последнего к первому.

Так как правила сугубо индивидуальны, попробуйте сделать тоже самое.

Это понятно, No Comments... Непонятно как соотносятся правила для группы (созданные в консоли) с правилами, созданными на локальной машине. Что-то должно иметь приоритет...

Можно попробовать описать трафик мессенджера и подвигать его.

Учтите, что если файерволл на проксе - тут понадобятся дополнительные правила типа петли между фейсами.

P.S. еще учтите, что после получения политики с сервера - правила обновляются не сразу.

С мессенджером вроде решил проблему и вроде понял где ошибка. Проверяю в данный момент. Политики с сервака применяются к клиенту секунд через 40 максимум, проверял в течение дня. Мож пока пара клиентов так быстро. Но это все только примерка и изучение. Как только будет до конца ясен механизм работы, тады и встанет вопрос о покупке конкретной версии и т.д. :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Shell

1. Правила имеют нумерацию. Самая левая графа :) Может, они?

2. Насколько помню навскидку, в документации написано что правила сервера заменяют правила клиента при "server control" режиме.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Aarony
1. Правила имеют нумерацию. Самая левая графа :) Может, они?

2. Насколько помню навскидку, в документации написано что правила сервера заменяют правила клиента при "server control" режиме.

Не похоже, в консоли сейчас у меня 21 правило (нумерация в столбце слева), к тому же я их временно вырубил для прояснения обстановки. А на клиенте вообще нумерации правил нема... Доки покопаю в обязалово, вроде тоже читал где-то. Проблему с куипом решил, нашел ошибку в созданом ДО НЕГО правиле на клиенте. Собственная невнимательность... Ну эт бывает при изучении новых продуктов. Остается вопрос с номером правил, мож и подскажет кто. В базе знаний не нашел поиском, могет быть пока... Спасибо Shell!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

×