faq обучение настройка
Текущее время: Пт мар 29, 2024 14:36

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 4 ] 
Автор Сообщение
 Заголовок сообщения: DFL-860E WebProfile URL Filtering не фильтрует IP
СообщениеДобавлено: Вт июл 27, 2021 01:29 
Не в сети

Зарегистрирован: Ср янв 01, 2014 22:56
Сообщений: 17
Добрый день!

Или имеет место быть откровенный косяк или я что-то не так делаю, с таком случае подскажите, ЧЯДНТ.
Имеем настройку доступа с хоста по определенному перечню URL, определенному в правиле "Access_to_some_url" (IP Policy/Web Control -> Web profile)
Вложение:
Снимок экрана 2021-07-27 004623.jpg
Снимок экрана 2021-07-27 004623.jpg [ 36.25 KiB | Просмотров: 1957 ]

В браузере то, что из списка - открывается, что не в списке - по http Forbidden, по https "не удается отобразить страницу", что уже странно.
Но дальше хуже:
PS C:\> Test-NetConnection -ComputerName cisco.com -CommonTCPPort http
ComputerName : cisco.com
RemoteAddress : 72.163.4.185
RemotePort : 80
InterfaceAlias : Ethernet
SourceAddress : 172.16.10.21
PingSucceeded : True
PingReplyDetails (RTT) : 163 ms
TcpTestSucceeded : True

То же самое и для -Port 443, и для -Port 80.
В логах этот трафик проходит по правилу "Access_to_some_url". И самое печальное - по этому же правилу проходит трафик AnyDesk. В браузере при этом политкорректное "не удается отобразить страницу".
Выходит, что любое наличие Web profile разрешает доступ по портам 80-443, если это не http, чего быть не должно.
Поправьте меня, если я не прав.


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт июл 27, 2021 09:36 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Пн авг 17, 2009 17:18
Сообщений: 7323
Можете предоставить все настройки для http/https filtering?
В заголовке темы указано, что не фильтрует IP, но в теле сообщения указан URL проткол, опишите подробнее с полной настройкой и указанием версии прошивки на DFL.

_________________
Форум не подразумевает под собой быстрый ответ, хотите быстрый и квалифицированный ответ - звоните в техподдержку компании D-Link 8-800-700-5465


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Вт июл 27, 2021 11:19 
Не в сети

Зарегистрирован: Ср янв 01, 2014 22:56
Сообщений: 17
Все правильно, вопрос именно в том, что запросы по IP проходят по правилу, разрешающему доступ по URL, и IP с URL при этом никак не соотносятся, например, IP в исходном сообщении "72.163.4.185" принадлежит cisco, которого в списке URL нет.

версия 12.00.13.05-34465

часть конфига в ssh:
fw-belgorod:/map_service> show URLFilterPolicy_URL
[<Category>] [<Type> [<Identifier>]]:

1 12 15 18 20 23 26 29 31 34 37 4 42 45 48 50 53 56 59 61 64 67 7 72 75 78 80 83 86 89 91
10 13 16 19 21 24 27 3 32 35 38 40 43 46 49 51 54 57 6 62 65 68 70 73 76 79 81 84 87 9
11 14 17 2 22 25 28 30 33 36 39 41 44 47 5 52 55 58 60 63 66 69 71 74 77 8 82 85 88 90

Other valid option: <enter>
fw-belgorod:/map_service> show URLFilterPolicy_URL 1

Property Value
--------- ---------
Action: Blacklist
URL: *
Comments: <empty>
fw-belgorod:/map_service> show URLFilterPolicy_URL 2

Property Value
--------- --------------
Action: Whitelist
URL: an.yandex.ru/*
Comments: <empty>

и полностью выгруженное:
<WebProfile Name="map_service">
<URLFilterPolicy_URL URL="*" />
<URLFilterPolicy_URL Action="Whitelist" URL="an.yandex.ru/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="api-maps.yandex.ru/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="awaps.yandex.net/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="awaps.yandex.ru/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="clck.yandex.ru/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="courier.yandex.ru/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="maps.yandex.ru/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="mc.yandex.ru/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="*.maps.yandex.net/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="yandex.net/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="yandex.ru/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="yandexadexchange.net/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="yastatic.net/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="bing.com/maps/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="fao.org/geonetwork/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="georss.org/georss/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="earth.google.com/kml/2.0/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="google.com/kml/ext/2.2/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="maps.google.com/mapfiles/kml/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="isotc211.org/2005/gmd/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="microsoft.com/maps/product/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="ogcnetwork.net/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="opengis.net/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="schemas.opengis.net/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="openlayers.org/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="openrico.org/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="a.tile.openstreetmap.org/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="b.tile.openstreetmap.org/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="b.tile.openstreetmap.org/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="c.tile.openstreetmap.org/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="openstreetmap.org/copyright/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="purl.org/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="topografix.com/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="mapserver.gis.umn.edu/mapserver/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="backend.userland.com/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="w3.org/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="*.1c.eu/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="*.1c.ru/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="*.beeline.amega-inform.ru/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="*.comodoca.com/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="*.dbogate.ofc.ru/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="*.digicert.com/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="*.download.windowsupdate.com/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="*.gsm-inform.ru/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="*.lcab.sms-uslugi.ru/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="*.mcommunicator.ru/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="*.nalog.ru/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="*.news.webits.1c.ru/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="*.ocsp.*" />
<URLFilterPolicy_URL Action="Whitelist" URL="*.orgregister.1c.ru/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="*.sms.ru/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="*.sms4b.ru/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="*.smsc.ru/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="*.symcb.com/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="*.symcd.com/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="*.thawte.com/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="*.update.microsoft.com/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="*.usertrust.com/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="*.windowsupdate.com/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="*.windowsupdate.microsoft.com/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="api.tochka.com/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="beeline.amega-inform.ru/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="cryptopro.ru/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="dbogate.ofc.ru/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="download.microsoft.com/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="download.windowsupdate.com/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="forefrontdl.microsoft.com/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="gsm-inform.ru/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="lcab.sms-uslugi.ru/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="mcommunicator.ru/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="news.webits.1c.ru/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="ntservicepack.microsoft.com/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="sms.ru/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="sms4b.ru/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="smsc.ru/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="windowsupdate.microsoft.com/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="wustat.windows.com/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="www.msftncsi.com/ncsi.txt" />
<URLFilterPolicy_URL Action="Whitelist" URL="mobi-c.ru/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="www.bing.com/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="*.virtualearth.net/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="yandex.ocsp-responder.com/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="www.openstreetmap.org/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="*.yandex.ru/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="maps.google.com/maps/api/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="unpkg.com/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="compute.mobi-c.ru/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="sky.mobi-c.net/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="*.google.com/*" />
<URLFilterPolicy_URL Action="Whitelist" URL="*.mag1c.ru/*" />
</WebProfile>

Правило в ssh:
fw-belgorod:/16(lan_and_vlans_to_wan)> show IPPolicy 58(rds_desktop-maps)

Property Value
-------------------------- ----------------------
Index: 58
Name: rds_desktop-maps
Action: Allow
SourceAddressTranslation: Auto
DestAddressTranslation: None
AntiVirus: No
WebControl: Yes
Web_Policy: map_service
FileControl: No
AppControl: No
HTTPInspection: Yes
HTTPAllowUnknownProtocols: No
SourceInterface: lan_if_172-16-10-1
DestinationInterface: wan_if_all
SourceNetwork: gr_rds_desktop_servers
DestinationNetwork: all-nets
SourceGeoFilter: <empty>
DestinationGeoFilter: <empty>
Service: http-https
Schedule: <empty>
LogEnabled: Yes
LogSeverity: Default
Comments: <empty>

То же самое правило в выгрузке:
<IPPolicy WebControl="True" Web_Policy="map_service" HTTPInspection="True" Name="rds_desktop-maps" SourceInterface="lan_if_172-16-10-1" DestinationInterface="wan_if_all" SourceNetwork="gr_rds_desktop_servers" DestinationNetwork="all-nets" Service="http-https" CommentGroup="6" />

Сервис "http-https":

<ServiceTCPUDP Name="http-https" DestinationPorts="80, 443" Protocol="HTTP_HTTPS" Comments="HTTP-HTTPS" />


Вернуться наверх
 Профиль  
 
СообщениеДобавлено: Ср июл 28, 2021 10:40 
Не в сети

Зарегистрирован: Ср янв 01, 2014 22:56
Сообщений: 17
Я добавлю немного информации.
Если применить фильтр, имеющий только одну запись "Blacklist=*", все работает точно так же: в браузере блокируется всё, если протокол не http (порт 80, но не http) - трафик пропускается. Т.е., предположительно, если в пакете IP нет "Http: Request, GET / ", фильтр не работает, пропуская такие пакеты вместо блокировки.
Дампы заблокированного доступа по http к cisco и пропущенный трафик anydesk прикладываю (.txt нужно поменять на .cap).
Кстати, AnyDesk по http гонит TLS.

По моему мнению - это дыра. Но как этот момент обойти не остановив работу офиса - придумать не могу.
Кто-нибудь может помочь с решением?


Вложения:
cap_int_to_cisco_http.txt [2.99 KiB]
Скачиваний: 136
anydesk_on_int_if.txt [7.02 KiB]
Скачиваний: 142
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 4 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 43


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB