Problème migration v8-v9 Netasq

Problème migration v8-v9 Netasq - Réseaux - Systèmes & Réseaux Pro

Marsh Posté le 09-07-2014 à 12:53:22    

Bonjour à tous,
 
Suite à l'arrêt du support sur la version 8 des équipements Netasq, j'ai décidé de passer deux UTM en version 9.1.3.2
La mise à jour s'est correctement déroulée. Le cluster est fonctionnel.
 
J'ai supprimé une règle de filtrage qui venait d'être ajoutée et qui bloquait toutes mes ACL (la règle était placé tout en haut de ma liste).
Malheureusement après cet upgrade, aucun des mes sites n'étaient accessibles...
En ajoutant une règle qui autorise any any, les sites sont fonctionnels.
 
Je pense que c'est au niveau des profils d'inspection que ça bloque mais sur les documentations constructeurs, ils n'abordent pas ce point.
 
Avez vous une idée ?  
 
Votre migration s'est elle bien passée ?
 
Merci d'avance.

Reply

Marsh Posté le 09-07-2014 à 12:53:22   

Reply

Marsh Posté le 09-07-2014 à 21:15:52    

Quand tu parles de sites, tu parles de sites distant ou site internet?
Pour vérifier ce qui bloque , il faut faire une règle de blocage à la fin de tes règles et paramétrer les traces. Regarder sur realtime monitor.

Reply

Marsh Posté le 10-07-2014 à 07:19:35    

pour internet tu as un nouvel obget.
au lieu de any prend internet :)


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
Reply

Marsh Posté le 10-07-2014 à 09:20:15    

Merci de vos réponses.
C'est bien nos sites internet qui bloquent.
 
Peux tu m'en dire plus sur l'objet Internet skoizer ?


Message édité par nasrox le 10-07-2014 à 09:55:13
Reply

Marsh Posté le 10-07-2014 à 12:00:38    

ça ne va pas te debloquer les accés, mais c'est plutot une bonne pratique.
apres "nos sites bloquent" peux tu expliquer ?
tes serveurs web ?
l'accés externe de tes serveurs en interne ?etc...


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
Reply

Marsh Posté le 10-07-2014 à 14:08:38    

Oui ce sont bien mes serveurs web. Ils sont accessibles en interne mais pas depuis l'extérieur.
Je pense que ça vient de la protection applicative. Mais je ne sais pas trop ou...

Reply

Marsh Posté le 10-07-2014 à 18:03:38    

as tu fais une régle nat ?
va sur "filtrage et nat" puis l'onglet NAT.
fais des tests.
sinon sur filtrage. Tu as 3 niveau de IPS (1 IPS controle des couche applicative, mode IDS il ne bloque pas les pb applicative mais il te fait remonter les log, puis le 3iéme firewall .. le basqiue)
tu peux appliquer 10 filtres IPS different par ligne de filtrage.
Regarde dans "profil d'inspection" puis voir les profil.
Cree toi en un si tu veux du spécifique.
mon conseil :
Les netasq sont des boitiers assez compliqué comme les autres. Dans des petites structure informatique, fait toi aider par un prestataire qui est certifié Netasq.


Message édité par skoizer le 10-07-2014 à 18:05:16

---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
Reply

Marsh Posté le 10-07-2014 à 22:10:13    

Si c'est l'IPS qui bloque l'accès alors tu as de grandes chances qu'une alerte remonte. Connecte toi avec realtime monitor. Tu auras l'ID de la règle bloquante dans le profil d'inspection.

Reply

Marsh Posté le 11-07-2014 à 10:51:23    

Dans realtime monitor, la règle qui bloque est un deny any any à la fin.
Mais j'ai pourtant autorisé any vers mon serveur web sur le port http juste avant le deny any any...  
Je ne comprends plus.
 
EDIT : J'ai trouvé ! En faite, dans la règle de filtrage il faut déclarer l'adresse ip publique et non la machine local...


Message édité par nasrox le 11-07-2014 à 11:39:46
Reply

Marsh Posté le 11-07-2014 à 12:13:44    

Ton adresse publique wan ne peut rentrer comme ça dans ton reseau qui a des ip privé.
c'est dans le nat qu'il faut faire un ajout.
Quand une demande sur le port 80 rentrera sur le port de l'interface netasq wan (internet) et faut le rediriger sur ton serveur interne.


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
Reply

Marsh Posté le 11-07-2014 à 12:13:44   

Reply

Marsh Posté le 11-07-2014 à 14:12:17    

Même en ayant fait le nat, si l'adresse ip publique n'est pas autorisé dans le filtrage, ça ne fonctionnera pas.

Reply

Marsh Posté le 11-07-2014 à 15:20:22    

oui aussi


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
Reply

Marsh Posté le 11-07-2014 à 15:49:14    

Ce n'était pas le cas en v8.
En tout cas, merci à vous !
 
EDIT : C'était stipulé dans une documentation  
 
En version 8, le NAT sur la destination est appliqué avant le filtrage, le filtrage est donc appliqué sur le trafic avec destination translatée.  
La version 9 applique le filtrage avant le NAT, le trafic avec sa destination originale est donc filtré.  
Il est donc nécessaire de modifier l’objet de destination d’une règle de filtrage en lui indiquant la source originale et non translatée.


Message édité par nasrox le 16-07-2014 à 11:23:30
Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed