USG60 v4.73(AAKY.2) вопрос по объектам политики и логам
Freshman Member
1). есть ли какая разница между объектами HOST и INTERFACE IP (для политики) ?
(с точки зрения запрета политиками некоторых сервисов)
2). в логах фиксируются следующие события:
warn Sessions Limit Maximum sessions per host (1000) was exceeded. [count=35]
alert User Failed login attempt to Device from ssh (incorrect password or inexistent username)
debug Default sshd: Disconnected from invalid user reza 221.7.12.139 port 18140 [preauth]
debug Default sshd: Received disconnect from 221.7.12.139 port 18140:11: Bye Bye [preauth]
debug Default sshd: Invalid user reza from 221.7.12.139 port 18140
что касается сервиса "ssh", то доступ к нему из WAN заблокирован(deny) политикой.
подскажите, пож-та, как правильно интерпретировать эти события.
Accepted Solution
-
руководство пользователя я смотрел, но оно не поясняет, есть ли какая разница между объектами HOST и INTERFACE IP (именно для политики, когда HOST = INTERFACE IP)
например, следующая deny-политика в 2-х вариантах:
(1). Политика1: из WAN, в ZyWALL, IP источник=any, IP назначения=HOST, Сервис=SSH, Пользователь=any, Действие=deny
(2). Политика1: из WAN, в ZyWALL, IP источник=any, IP назначения=INTERFACE IP, Сервис=SSH, Пользователь=any, Действие=deny
будет иметь один и тот же результат ?
если в этих политиках:
HOST = INTERFACE IP (ip-адрес одинаковый - это внешний ip wan1_ppp (pppoe), WAN включает в себя wan1_ppp),
Расписания политики нет, Приоритет политики = 1.сканером портов(отключив модуль ADP) проверял, порт SSH (22) отключен. а в логах в него ломятся: "alert User Failed login attempt to Device from ssh". непонятно, что может быть не так. а можно ли как-то узнать по какой политике в логах фиксируется событие ?
Объект с типом Host подразумевает конечный устройство (пк, принтер и тд), куда должен приходить трафик.
INTERFACE IP это тип относится к самому шлюзу , как представление / интерфейса внешнего адреса шлюза.
Политики WAN to Zywall подразумевают направление трафика из из wan к самому шлюзу (HTTPS/SSH и тд.) в правиле (1) указан dest-host, а на шлюзе нет такого объекта -он локалке, т.е. трафик уйдет в никуда.
(2) правило указан конкретный внешний IP шлюза, т.е если у Вас 2 WAN, то на конкретный wan - deny, если одни wan то можно ставить в dest- any вместо wan-ip, сработает одинаково.
непонятно, что может быть не так. а можно ли как-то узнать по какой политике в логах фиксируется событие ?
в логах будет запись вида:
priority- номер правила.
Еще можно в настройках ssh указать, дополнительно:
Проверьте правила Firewall, WAN to Zywall , возможно есть разрешающее правило у которого выше приоритет чем запрещающее.
Асимметричные маршруты не включены?
0
All Replies
-
1.Вот выдержка из руководства пользователя:
warnSessions LimitMaximum sessions per host (1000) was exceeded. [count=35]
Включен контроль сессий, при превышении порога, доступ хоста блокируется на 60с (по умолчанию).
alertUserFailed login attempt to Device from ssh (incorrect password or inexistent username)
debugDefaultsshd: Disconnected from invalid user reza 221.7.12.139 port 18140 [preauth]
debugDefaultsshd: Received disconnect from 221.7.12.139 port 18140:11: Bye Bye [preauth]
debugDefaultsshd: Invalid user reza from 221.7.12.139 port 18140В отладочные логи обычно используются для поиска проблемы, категория логов Default их включает. Точно доступ к портам ssh заблокирован? А то судя по логам, подключение отбрасывается из-за неверного логин/пароль,
221.7.12.139
ip судя по всему China.
Проверьте сканером портов, какие порты у вас светятся, предварительно отключив модуль ADP, может заблокировать сканирующий IP и результат будет не корректным.
0 -
- руководство пользователя я смотрел, но оно не поясняет, есть ли какая разница между объектами HOST и INTERFACE IP (именно для политики, когда HOST = INTERFACE IP)
например, следующая deny-политика в 2-х вариантах:
(1). Политика1: из WAN, в ZyWALL, IP источник=any, IP назначения=HOST, Сервис=SSH, Пользователь=any, Действие=deny
(2). Политика1: из WAN, в ZyWALL, IP источник=any, IP назначения=INTERFACE IP, Сервис=SSH, Пользователь=any, Действие=deny
будет иметь один и тот же результат ?
если в этих политиках:
HOST = INTERFACE IP (ip-адрес одинаковый - это внешний ip wan1_ppp (pppoe), WAN включает в себя wan1_ppp),
Расписания политики нет, Приоритет политики = 1. - сканером портов(отключив модуль ADP) проверял, порт SSH (22) отключен. а в логах в него ломятся: "alert User Failed login attempt to Device from ssh". непонятно, что может быть не так. а можно ли как-то узнать по какой политике в логах фиксируется событие ?
0 - руководство пользователя я смотрел, но оно не поясняет, есть ли какая разница между объектами HOST и INTERFACE IP (именно для политики, когда HOST = INTERFACE IP)
-
3). ещё в логах фиксируются следующие события:
debug
Default
named: query client=0x10bbe158 thread=0x0 (xyqk7baof0c4d.xkty9991.com/CERT): query_find: unexpected error after resuming: timed out
debug
Default
named: query client=0x10bbc990 thread=0x0 (wutvp2xil5r9d.xkty9991.com/DS): query_find: unexpected error after resuming: timed out
debug
Default
named: query client=0x10bbb1c8 thread=0x0 (twnp.8.xkty9991.com/TXT): query_find: unexpected error after resuming: timed out
debug
Default
named: query client=0x10bb9a00 thread=0x0 (kdue35zm2r.xkty9991.com/AAAA): query_find: unexpected error after resuming: timed out
debug
Default
named: query client=0x10bb8238 thread=0x0 (xkj6s13q8dt.xkty9991.com/HINFO): query_find: unexpected error after resuming: timed out
о чём они говорят? неверно настроена служба DNS в USG60 ?
и доплнительно, как бороться с такими событиями или это нормально ?
warn Sessions Limit Maximum sessions per host (1000) was exceeded. [count=33] ... ... ACCESS BLOCK0 -
руководство пользователя я смотрел, но оно не поясняет, есть ли какая разница между объектами HOST и INTERFACE IP (именно для политики, когда HOST = INTERFACE IP)
например, следующая deny-политика в 2-х вариантах:
(1). Политика1: из WAN, в ZyWALL, IP источник=any, IP назначения=HOST, Сервис=SSH, Пользователь=any, Действие=deny
(2). Политика1: из WAN, в ZyWALL, IP источник=any, IP назначения=INTERFACE IP, Сервис=SSH, Пользователь=any, Действие=deny
будет иметь один и тот же результат ?
если в этих политиках:
HOST = INTERFACE IP (ip-адрес одинаковый - это внешний ip wan1_ppp (pppoe), WAN включает в себя wan1_ppp),
Расписания политики нет, Приоритет политики = 1.сканером портов(отключив модуль ADP) проверял, порт SSH (22) отключен. а в логах в него ломятся: "alert User Failed login attempt to Device from ssh". непонятно, что может быть не так. а можно ли как-то узнать по какой политике в логах фиксируется событие ?
Объект с типом Host подразумевает конечный устройство (пк, принтер и тд), куда должен приходить трафик.
INTERFACE IP это тип относится к самому шлюзу , как представление / интерфейса внешнего адреса шлюза.
Политики WAN to Zywall подразумевают направление трафика из из wan к самому шлюзу (HTTPS/SSH и тд.) в правиле (1) указан dest-host, а на шлюзе нет такого объекта -он локалке, т.е. трафик уйдет в никуда.
(2) правило указан конкретный внешний IP шлюза, т.е если у Вас 2 WAN, то на конкретный wan - deny, если одни wan то можно ставить в dest- any вместо wan-ip, сработает одинаково.
непонятно, что может быть не так. а можно ли как-то узнать по какой политике в логах фиксируется событие ?
в логах будет запись вида:
priority- номер правила.
Еще можно в настройках ssh указать, дополнительно:
Проверьте правила Firewall, WAN to Zywall , возможно есть разрешающее правило у которого выше приоритет чем запрещающее.
Асимметричные маршруты не включены?
0 -
3). ещё в логах фиксируются следующие события:
debug
Default
named: query client=0x10bbe158 thread=0x0 (xyqk7baof0c4d.xkty9991.com/CERT): query_find: unexpected error after resuming: timed out
debug
Default
named: query client=0x10bbc990 thread=0x0 (wutvp2xil5r9d.xkty9991.com/DS): query_find: unexpected error after resuming: timed out
debug
Default
named: query client=0x10bbb1c8 thread=0x0 (twnp.8.xkty9991.com/TXT): query_find: unexpected error after resuming: timed out
debug
Default
named: query client=0x10bb9a00 thread=0x0 (kdue35zm2r.xkty9991.com/AAAA): query_find: unexpected error after resuming: timed out
debug
Default
named: query client=0x10bb8238 thread=0x0 (xkj6s13q8dt.xkty9991.com/HINFO): query_find: unexpected error after resuming: timed out
о чём они говорят? неверно настроена служба DNS в USG60 ?
и доплнительно, как бороться с такими событиями или это нормально ?
warnSessions LimitMaximum sessions per host (1000) was exceeded. [count=33]... ...ACCESS BLOCKСудя по всему нет доступа к сайту : клиент запрашивает , а ему timed out
xkty9991.com
В настройках шлюза уровень логов Debug или Normal?
Настройки на шлюзе какие нибудь указаны параметрах DNS?
warnSessions LimitMaximum sessions per host (1000) was exceeded. [count=33]... ...ACCESS BLOCK
Лимит по сессиям меняется здесь, можно настроить исключение для host, или отключить.
0 -
огромное спасибо, за пояснения логики работы политик USG !
в итоге с SSH разобрался и в логах больше по SSH не ломятся, включена такая Политика:
из WAN, в ZyWALL, IP источник=any, IP назначения=any, Сервис=SSH, Пользователь=any, Действие=denyАсимметричные маршруты не включены!
0 -
"Судя по всему нет доступа к сайту : клиент запрашивает , а ему timed out" , "xkty9991.com"
в том и фокус, что сайта никакого нет в локальной сети за USG.
и кстати, после настройки блокирования SSH такие логи про сайт пропали. хм…В настройках шлюза уровень логов ПО УМОЛЧАНИЮ. (ничего не меняли):
в настройках DNS всё ПО УМОЛЧАНИЮ, ничего не задано.
"warnSessions LimitMaximum sessions per host (1000) was exceeded. [count=33]... ...ACCESS BLOCK"
Лимит по сессиям беспокоит потому что в логах были такие сообщения и сессии эти были ИЗВНЕ(из WAN) и USG их блокировал по лимиту.0
Master Member
