j'ai compris

Impossible d'envoyer une requête ping aux réseaux non approuvés à partir du pare-feu USG6000V

publié il y a  2020-9-21 00:02:05Dernière réponse Sep 21, 2020 00:03:13 105 1 0 0 0
  Récompense F-coins.: 0 (Résolu)

Bonjour à tous,


Je joue avec un USG6000V et j'ai un doute ... (vérifier la topologie à la fin)


- Les deux FW sont configurés avec la stratégie par défaut DENY.

- Quand j'essaye de cingler l'IP 10.1.127.7 (Router1) ou 10.1.70.1 (PC1) à partir du FW1 et / ou FW2 ne fonctionne pas.

- J'ai créé la règle de politique (sans succès): 


rule name test

 source-zone untrust

 destination-address 10.1.127.7 mask 255.255.255.255 description R1

 destination-address 10.1.70.1 mask 255.255.255.255 description PC1

 action permit



- Lorsque j'exécute le ping, le pare-feu atteint toujours la politique par défaut (DENY):


HRP_M[FW1-policy-security-rule-test]display security-policy rule destination 10.1.70.1 source-zone untrust 

2020-08-17 18:05.810  

RULE ID  RULE NAME                         STATE      ACTION       HITS        

------------------------------------------------------------------------------- 

3        test                                enable     permit       0           

0        default                           enable     deny         193         

-------------------------------------------------------------------------------


HRP_M[FW1-policy-security-rule-test]display security-policy rule destination 10.1.127.7 source-zone untrust 

2020-08-17 18:05.660  

RULE ID  RULE NAME                         STATE      ACTION       HITS        

------------------------------------------------------------------------------- 

3        test                                enable     permit       0           

0        default                           enable     deny         193         

-------------------------------------------------------------------------------

HRP_M[FW1-policy-security-rule-test]




- Lorsque je change la politique par défaut sur PERMIT, tous les pings fonctionnent correctement.


Alors ... ma question est ... Quelle est la règle de politique correcte que je dois créer? Ou la seule solution est de changer la politique par défaut pour permettre? Je crois fermement que cela devrait fonctionner si je configure la règle de politique correcte.





Topologie_fW




Merci pour la lecture et l'aide.


  • x
  • Standard:

Réponses en vedette

Meilleure réponse

mariano93
publié il y a 2020-9-21 00:03:13

Bonjour,

Lorsque vous envoyez une requête ping à une adresse IP externe à partir du pare-feu, les paquets sont envoyés localement. La zone source doit être la zone locale et la zone de destination doit être la zone où réside l'interface. 

Par conséquent, la configuration correcte est la suivante:

rule name test

 source-zone local

 destination-zone untrust

 action permit


View more
  • x
  • Standard:

Toutes les réponses
mariano93
mariano93 publié il y a 2020-9-21 00:03:13

Bonjour,

Lorsque vous envoyez une requête ping à une adresse IP externe à partir du pare-feu, les paquets sont envoyés localement. La zone source doit être la zone locale et la zone de destination doit être la zone où réside l'interface. 

Par conséquent, la configuration correcte est la suivante:

rule name test

 source-zone local

 destination-zone untrust

 action permit


View more
  • x
  • Standard:

Commentaire

Connectez-vous pour répondre. Se connecter | Enregistrer
envoyer

Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».

My Followers

Connectez-vous pour participer à la communication et au partage

S'identifier

Bloquer
Êtes-vous sûr de bloquer cet utilisateur?
Les utilisateurs de votre liste noire ne peuvent ni commenter votre publication,ni vous mentionner, ni vous envoyer de messages privés.
Rappel
Veuillez lier votre numéro de téléphone pour obtenir un bonus d'invitation.