Bonjour à tous,
 
Suite à l'arrêt du support sur la version 8 des équipements Netasq, j'ai décidé de passer deux UTM en version 9.1.3.2
La mise à jour s'est correctement déroulée. Le cluster est fonctionnel.
 
J'ai supprimé une règle de filtrage qui venait d'être ajoutée et qui bloquait toutes mes ACL (la règle était placé tout en haut de ma liste).
Malheureusement après cet upgrade, aucun des mes sites n'étaient accessibles...
En ajoutant une règle qui autorise any any, les sites sont fonctionnels.
 
Je pense que c'est au niveau des profils d'inspection que ça bloque mais sur les documentations constructeurs, ils n'abordent pas ce point.
 
Avez vous une idée ?  
 
Votre migration s'est elle bien passée ?
 
Merci d'avance.

Quand tu parles de sites, tu parles de sites distant ou site internet?
Pour vérifier ce qui bloque , il faut faire une règle de blocage à la fin de tes règles et paramétrer les traces. Regarder sur realtime monitor.

pour internet tu as un nouvel obget.
au lieu de any prend internet

Merci de vos réponses.
C'est bien nos sites internet qui bloquent.
 
Peux tu m'en dire plus sur l'objet Internet skoizer ?

ça ne va pas te debloquer les accés, mais c'est plutot une bonne pratique.
apres "nos sites bloquent" peux tu expliquer ?
tes serveurs web ?
l'accés externe de tes serveurs en interne ?etc...

Oui ce sont bien mes serveurs web. Ils sont accessibles en interne mais pas depuis l'extérieur.
Je pense que ça vient de la protection applicative. Mais je ne sais pas trop ou...

as tu fais une régle nat ?
va sur "filtrage et nat" puis l'onglet NAT.
fais des tests.
sinon sur filtrage. Tu as 3 niveau de IPS (1 IPS controle des couche applicative, mode IDS il ne bloque pas les pb applicative mais il te fait remonter les log, puis le 3iéme firewall .. le basqiue)
tu peux appliquer 10 filtres IPS different par ligne de filtrage.
Regarde dans "profil d'inspection" puis voir les profil.
Cree toi en un si tu veux du spécifique.
mon conseil :
Les netasq sont des boitiers assez compliqué comme les autres. Dans des petites structure informatique, fait toi aider par un prestataire qui est certifié Netasq.

Si c'est l'IPS qui bloque l'accès alors tu as de grandes chances qu'une alerte remonte. Connecte toi avec realtime monitor. Tu auras l'ID de la règle bloquante dans le profil d'inspection.

Dans realtime monitor, la règle qui bloque est un deny any any à la fin.
Mais j'ai pourtant autorisé any vers mon serveur web sur le port http juste avant le deny any any...  
Je ne comprends plus.
 
EDIT : J'ai trouvé ! En faite, dans la règle de filtrage il faut déclarer l'adresse ip publique et non la machine local...

Ton adresse publique wan ne peut rentrer comme ça dans ton reseau qui a des ip privé.
c'est dans le nat qu'il faut faire un ajout.
Quand une demande sur le port 80 rentrera sur le port de l'interface netasq wan (internet) et faut le rediriger sur ton serveur interne.

Même en ayant fait le nat, si l'adresse ip publique n'est pas autorisé dans le filtrage, ça ne fonctionnera pas.

oui aussi

Ce n'était pas le cas en v8.
En tout cas, merci à vous !
 
EDIT : C'était stipulé dans une documentation  
 
En version 8, le NAT sur la destination est appliqué avant le filtrage, le filtrage est donc appliqué sur le trafic avec destination translatée.  
La version 9 applique le filtrage avant le NAT, le trafic avec sa destination originale est donc filtré.  
Il est donc nécessaire de modifier l’objet de destination d’une règle de filtrage en lui indiquant la source originale et non translatée.