Пара вопросиков по Flex 200
Pavel
Публикаций: 112 
Ally Member
Ally Member
Всем привет .
1 Нужно ли создавать специальное правило для разрешения/запрещения доступа к WWW интерфейсу флекса с WAN интерфейса. имеется ввиду в Полиси.
2 Что это за трафик ? два дня лог забивается. 72,77 - wan флекса
1 Нужно ли создавать специальное правило для разрешения/запрещения доступа к WWW интерфейсу флекса с WAN интерфейса. имеется ввиду в Полиси.
2 Что это за трафик ? два дня лог забивается. 72,77 - wan флекса
11 | 2022-05-11 19:26:57 | info | IKE | [XCHG] exchange type is not IP, AGGR, or INFO [count=2] |  72.77.77.77:500 | 109.196.75.71:2 | IKE_LOG |
12 | 2022-05-11 19:26:51 | info | IKE | The cookie pair is : 0x16e24aebf3f42bb1 / 0x0000000000000000 [count=4] | 72.77.77.77:500 | 109.196.75.71:2 | IKE_LOG |
13 | 2022-05-11 19:26:45 | info | IKE | [XCHG] exchange type is not IP, AGGR, or INFO [count=4] | 72.77.77.77:500 | 109.196.75.71:2 | IKE_LOG |
14 | 2022-05-11 19:26:39 | info | IKE | The cookie pair is : 0x16e24aebf3f42bb1 / 0x0000000000000000 [count=4] | 72.77.77.77:500 | 109.196.75.71:2 | IKE_LOG |
15 | 2022-05-11 19:26:33 | info | IKE | [XCHG] exchange type is not IP, AGGR, or INFO [count=4] | 72.77.77.77:500 | 109.196.75.71:2 | IKE_LOG |
0
All Replies
-
Здравствуйте!
Я полагаю, что этот лог показывает только половину картины, так как был получен с фильтром по определенному адресу источника или назначения из-за чего мы не видим логов этого общения "в другую сторону". Можно посмотреть полный лог IKE между этими адресами? В качестве фильтра укажите удаленный адрес в поле Keyword.
У шлюза есть туннель с адресом 109.196.75.71?0 -
У шлюза нет таких туннелей.Zyxel_Andrew написал:Здравствуйте!
Я полагаю, что этот лог показывает только половину картины, так как был получен с фильтром по определенному адресу источника или назначения из-за чего мы не видим логов этого общения "в другую сторону". Можно посмотреть полный лог IKE между этими адресами? В качестве фильтра укажите удаленный адрес в поле Keyword.
У шлюза есть туннель с адресом 109.196.75.71?
было вот как на скрине например.
Ну и в прищепке лог
Повторю второй вопрос - про специальное правило для веб морды на wan интерфейсе . Объясню почему
1 Без спец правила - морда доступна всем .
2 с запрещающим все понятно - доступа нет
3 С разрешающим правилом для всех - система ругается на секьюрность и дает выставить спец опции для доступа с определенных адресов, эти опции просто так найти не удалось (может быть моя ошибка где)
0 -
Данный лог категории IKE с тестом [XCHG] exchange type is not IP, AGGR, or INFOОзначает, что шлюз отвечает на полученный пакет с портом назначения 500, который интерпретируется шлюзом как IKE, однако так он не смог идентифицировать полученный пакет как IKE (тип запроса не IP, AGGR, или INFO) то запрос игнорируется и отправляется ответный пакет с этой информацией. Эти пакеты можно игнорировать.
По второму вопросу можете ознакомиться с нашими советами по настройке правил политик безопасности в статьях Базу Знаний:Добавление простого правила / политики безопасности брандмауэра на ваш ATP / USG FLEX / USG / ZyWall-Gateway
Политики безопасности в USG FLEX / ATP / VPN - полезные уловки и советы
0
Zyxel Employee
