Пара вопросиков по Flex 200

Pavel
Pavel Публикаций: 112  Ally Member
First Comment Friend Collector Fourth Anniversary
отредактировано мая 2022 Раздел: Общие вопросы
Всем привет .

1 Нужно ли создавать специальное  правило для разрешения/запрещения доступа к WWW интерфейсу флекса с WAN интерфейса. имеется ввиду в Полиси.

2 Что это за трафик ? два дня лог забивается. 72,77 - wan флекса

11
2022-05-11 19:26:57
info
IKE
[XCHG] exchange type is not IP, AGGR, or INFO [count=2]
72.77.77.77:500
109.196.75.71:2
IKE_LOG
12
2022-05-11 19:26:51
info
IKE
The cookie pair is : 0x16e24aebf3f42bb1 / 0x0000000000000000 [count=4]
72.77.77.77:500
109.196.75.71:2
IKE_LOG
13
2022-05-11 19:26:45
info
IKE
[XCHG] exchange type is not IP, AGGR, or INFO [count=4]
72.77.77.77:500
109.196.75.71:2
IKE_LOG
14
2022-05-11 19:26:39
info
IKE
The cookie pair is : 0x16e24aebf3f42bb1 / 0x0000000000000000 [count=4]
72.77.77.77:500
109.196.75.71:2
IKE_LOG
15
2022-05-11 19:26:33
info
IKE
[XCHG] exchange type is not IP, AGGR, or INFO [count=4]
72.77.77.77:500
109.196.75.71:2
IKE_LOG


All Replies

  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 568  Zyxel Employee
    50 Answers 500 Comments Friend Collector Fifth Anniversary
    Здравствуйте!
    Я полагаю, что этот лог показывает только половину картины, так как был получен с фильтром по определенному адресу источника или назначения из-за чего мы не видим логов этого общения "в другую сторону". Можно посмотреть полный лог IKE между этими адресами? В качестве фильтра укажите удаленный адрес в поле Keyword.
    У шлюза есть туннель с адресом 109.196.75.71?
  • Pavel
    Pavel Публикаций: 112  Ally Member
    First Comment Friend Collector Fourth Anniversary
    Zyxel_Andrew написал:
    Здравствуйте!
    Я полагаю, что этот лог показывает только половину картины, так как был получен с фильтром по определенному адресу источника или назначения из-за чего мы не видим логов этого общения "в другую сторону". Можно посмотреть полный лог IKE между этими адресами? В качестве фильтра укажите удаленный адрес в поле Keyword.
    У шлюза есть туннель с адресом 109.196.75.71?
    У шлюза нет таких туннелей. 
    было вот как на скрине например.
    Ну и в прищепке лог
    Повторю второй вопрос - про специальное правило для веб морды  на wan интерфейсе . Объясню почему
    1 Без спец правила - морда доступна всем .
    2 с запрещающим все понятно - доступа нет 
    3 С разрешающим правилом для всех - система ругается на секьюрность и дает выставить спец опции для доступа с определенных адресов, эти опции просто так найти не удалось (может быть моя ошибка где)
     
    LOG.pdf 197.5K
  • Zyxel_Andrew
    Zyxel_Andrew Публикаций: 568  Zyxel Employee
    50 Answers 500 Comments Friend Collector Fifth Anniversary
    Данный лог категории IKE с тестом [XCHG] exchange type is not IP, AGGR, or INFO
    Означает, что шлюз отвечает на полученный пакет с портом назначения 500, который интерпретируется шлюзом как IKE, однако так он не смог идентифицировать полученный пакет как IKE (тип запроса не IP, AGGR, или INFO) то запрос игнорируется и отправляется ответный пакет с этой информацией. Эти пакеты можно игнорировать.

    По второму вопросу можете ознакомиться с нашими советами по настройке правил политик безопасности в статьях Базу Знаний:

    Добавление простого правила / политики безопасности брандмауэра на ваш ATP / USG FLEX / USG / ZyWall-Gateway


    Политики безопасности в USG FLEX / ATP / VPN - полезные уловки и советы