Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
875 connectés 

  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Problème migration v8-v9 Netasq

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

Problème migration v8-v9 Netasq

n°122368
nasrox
Posté le 09-07-2014 à 12:53:22  profilanswer
 

Bonjour à tous,
 
Suite à l'arrêt du support sur la version 8 des équipements Netasq, j'ai décidé de passer deux UTM en version 9.1.3.2
La mise à jour s'est correctement déroulée. Le cluster est fonctionnel.
 
J'ai supprimé une règle de filtrage qui venait d'être ajoutée et qui bloquait toutes mes ACL (la règle était placé tout en haut de ma liste).
Malheureusement après cet upgrade, aucun des mes sites n'étaient accessibles...
En ajoutant une règle qui autorise any any, les sites sont fonctionnels.
 
Je pense que c'est au niveau des profils d'inspection que ça bloque mais sur les documentations constructeurs, ils n'abordent pas ce point.
 
Avez vous une idée ?  
 
Votre migration s'est elle bien passée ?
 
Merci d'avance.

mood
Publicité
Posté le 09-07-2014 à 12:53:22  profilanswer
 

n°122384
Tolb
Posté le 09-07-2014 à 21:15:52  profilanswer
 

Quand tu parles de sites, tu parles de sites distant ou site internet?
Pour vérifier ce qui bloque , il faut faire une règle de blocage à la fin de tes règles et paramétrer les traces. Regarder sur realtime monitor.

n°122391
skoizer
tripoux et tête de veau
Posté le 10-07-2014 à 07:19:35  profilanswer
 

pour internet tu as un nouvel obget.
au lieu de any prend internet :)


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°122395
nasrox
Posté le 10-07-2014 à 09:20:15  profilanswer
 

Merci de vos réponses.
C'est bien nos sites internet qui bloquent.
 
Peux tu m'en dire plus sur l'objet Internet skoizer ?


Message édité par nasrox le 10-07-2014 à 09:55:13
n°122398
skoizer
tripoux et tête de veau
Posté le 10-07-2014 à 12:00:38  profilanswer
 

ça ne va pas te debloquer les accés, mais c'est plutot une bonne pratique.
apres "nos sites bloquent" peux tu expliquer ?
tes serveurs web ?
l'accés externe de tes serveurs en interne ?etc...


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°122407
nasrox
Posté le 10-07-2014 à 14:08:38  profilanswer
 

Oui ce sont bien mes serveurs web. Ils sont accessibles en interne mais pas depuis l'extérieur.
Je pense que ça vient de la protection applicative. Mais je ne sais pas trop ou...

n°122420
skoizer
tripoux et tête de veau
Posté le 10-07-2014 à 18:03:38  profilanswer
 

as tu fais une régle nat ?
va sur "filtrage et nat" puis l'onglet NAT.
fais des tests.
sinon sur filtrage. Tu as 3 niveau de IPS (1 IPS controle des couche applicative, mode IDS il ne bloque pas les pb applicative mais il te fait remonter les log, puis le 3iéme firewall .. le basqiue)
tu peux appliquer 10 filtres IPS different par ligne de filtrage.
Regarde dans "profil d'inspection" puis voir les profil.
Cree toi en un si tu veux du spécifique.
mon conseil :
Les netasq sont des boitiers assez compliqué comme les autres. Dans des petites structure informatique, fait toi aider par un prestataire qui est certifié Netasq.


Message édité par skoizer le 10-07-2014 à 18:05:16

---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°122424
Tolb
Posté le 10-07-2014 à 22:10:13  profilanswer
 

Si c'est l'IPS qui bloque l'accès alors tu as de grandes chances qu'une alerte remonte. Connecte toi avec realtime monitor. Tu auras l'ID de la règle bloquante dans le profil d'inspection.

n°122431
nasrox
Posté le 11-07-2014 à 10:51:23  profilanswer
 

Dans realtime monitor, la règle qui bloque est un deny any any à la fin.
Mais j'ai pourtant autorisé any vers mon serveur web sur le port http juste avant le deny any any...  
Je ne comprends plus.
 
EDIT : J'ai trouvé ! En faite, dans la règle de filtrage il faut déclarer l'adresse ip publique et non la machine local...


Message édité par nasrox le 11-07-2014 à 11:39:46
n°122435
skoizer
tripoux et tête de veau
Posté le 11-07-2014 à 12:13:44  profilanswer
 

Ton adresse publique wan ne peut rentrer comme ça dans ton reseau qui a des ip privé.
c'est dans le nat qu'il faut faire un ajout.
Quand une demande sur le port 80 rentrera sur le port de l'interface netasq wan (internet) et faut le rediriger sur ton serveur interne.


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
mood
Publicité
Posté le 11-07-2014 à 12:13:44  profilanswer
 

n°122436
nasrox
Posté le 11-07-2014 à 14:12:17  profilanswer
 

Même en ayant fait le nat, si l'adresse ip publique n'est pas autorisé dans le filtrage, ça ne fonctionnera pas.

n°122437
skoizer
tripoux et tête de veau
Posté le 11-07-2014 à 15:20:22  profilanswer
 

oui aussi


---------------
je veux tout, tout de suite, et gratuitement ! miladiou !
n°122439
nasrox
Posté le 11-07-2014 à 15:49:14  profilanswer
 

Ce n'était pas le cas en v8.
En tout cas, merci à vous !
 
EDIT : C'était stipulé dans une documentation  
 
En version 8, le NAT sur la destination est appliqué avant le filtrage, le filtrage est donc appliqué sur le trafic avec destination translatée.  
La version 9 applique le filtrage avant le NAT, le trafic avec sa destination originale est donc filtré.  
Il est donc nécessaire de modifier l’objet de destination d’une règle de filtrage en lui indiquant la source originale et non translatée.


Message édité par nasrox le 16-07-2014 à 11:23:30

Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Systèmes & Réseaux Pro
  Réseaux

  Problème migration v8-v9 Netasq

 

Sujets relatifs
Licence NetasqNetasq - liste des process
QOS portail HTTPS NetAsqproblème disque dur externe portatif sony
Problème connexion 2 switchsProblème driver Lenovo L440 avec MDT2012
Bascule netasq HA v9[RESOLU] [Netasq V9.1] - Proxy SMTP
Plus de sujets relatifs à : Problème migration v8-v9 Netasq


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR