Вот и добрались мои руки до этого "замечательного" продукта - Treat Management Gateway 2010. Все та же линейка ISA-образный файрволлов, которые я от всей души ненавижу, и с которыми волею судьбы приходится работать. Весьма своеобразные это файры, должен сказать. В копилке уже два случая, за которые очень хотелось бы пристально посмотреть в глаза разработчикам. Итак, начали.
1. Во всей документации сказано, что ISA/TMG - файры, обрабатывающие правила исключительно по их следованию в списке - от первого до последнего. Еще во времена ISA 2004 у меня появились большие сомнения в том, что это верно. TMG 2010 и его функция имитации трафика с логами этого процесса только подтвердили эти догадки:
условия теста - есть правило, разрешающее доступ всем на группу сайтов yammer.com. Ну и последним, естественно, идет правило, запрещающее все и всем, правило по-умолчанию.
Имитация трафика - пакет по протоколу http на сайт
yammer.com. Имя пользователя несущественно, доступ в разрешающем правиле - для всех.
результат теста4810 12.09.2012 9:40:41 fff8de32 Firewall service The Firewall service is performing rule evaluation.
4811 12.09.2012 9:40:41 fff8de32 Firewall service Protocol: BranchCache - Retrieval
4812 12.09.2012 9:40:41 fff8de32 Firewall service Packet properties: Source IP address: N/A Source array network: Internal Destination IP address: N/A Destination array network: External
4813 12.09.2012 9:40:41 fff8de32 Firewall service Forefront TMG will check only rules that are associated with the protocol BranchCache - Retrieval.
4814 12.09.2012 9:40:41 fff8de32 Firewall service Forefront TMG is evaluating the rule [System] Allow MS Firewall Control communication to selected computers.
4815 12.09.2012 9:40:41 fff8de32 Firewall service The source port does not match the rule.
4816 12.09.2012 9:40:41 fff8de32 Firewall service Forefront TMG is evaluating the rule Default rule.
4817 12.09.2012 9:40:41 fff8de32 Firewall service The rule Default rule matches the packet and may deny it. However, a rule that precedes this rule in the list of policy rules and matches the packet will take precedence and may allow the packet.
4818 12.09.2012 9:40:41 fff8de32 Firewall service The rule Default rule blocked the packet.
4819 12.09.2012 9:40:41 fff8de32 Firewall service The Firewall service is performing rule evaluation.
4820 12.09.2012 9:40:41 fff8de32 Firewall service Protocol: HTTP
4821 12.09.2012 9:40:41 fff8de32 Firewall service Packet properties: Source IP address: N/A Source array network: Internal Destination IP address: N/A Destination array network: External
4822 12.09.2012 9:40:41 fff8de32 Firewall service Forefront TMG will check only rules that are associated with the protocol HTTP.
4823 12.09.2012 9:40:41 fff8de32 Firewall service Forefront TMG is evaluating the rule [System] Allow all HTTP traffic from Forefront TMG to all networks (for CRL downloads).
4824 12.09.2012 9:40:41 fff8de32 Firewall service source does not match the packet.
4825 12.09.2012 9:40:41 fff8de32 Firewall service Forefront TMG is evaluating the rule [System] Allow HTTP/HTTPS from Forefront TMG to specified Microsoft error reporting sites.
4826 12.09.2012 9:40:41 fff8de32 Firewall service source does not match the packet.
4827 12.09.2012 9:40:41 fff8de32 Firewall service Forefront TMG is evaluating the rule [System] Allow HTTP/HTTPS requests from Forefront TMG to specified sites.
4828 12.09.2012 9:40:41 fff8de32 Firewall service source does not match the packet.
4829 12.09.2012 9:40:41 fff8de32 Firewall service Forefront TMG is evaluating the rule [System] Allow HTTP/HTTPS from Forefront TMG to specified Microsoft Update sites.
4830 12.09.2012 9:40:41 fff8de32 Firewall service source does not match the packet.
4831 12.09.2012 9:40:41 fff8de32 Firewall service Forefront TMG is evaluating the rule [System] Allow MS Firewall Control communication to selected computers.
4832 12.09.2012 9:40:41 fff8de32 Firewall service The source port does not match the rule.
4833 12.09.2012 9:40:41 fff8de32 Firewall service Forefront TMG is evaluating the rule Yammer.
4834 12.09.2012 9:40:41 fff8de32 Firewall service The rule Yammer matches the packet. The packet is allowed.
4835 12.09.2012 9:40:41 fff8de32 Firewall service The rule Yammer allowed the packet. Покупайте наших слонов. Первым делом проверено правило тотального запрета, и ясен красен, что тестовый пакет ему удовлетворяет. Хорошо хоть, что тут же показывается ремарка, что, мол, есть тут у нас какой-то список правил, так уж и быть, проверим и его...
2. Обработка адресов в URL Sets. Если меня читают те, кто еще застал в своей жизни символы-маски со времен DOS - меня поймут. Как вы думаете, если в правиле задано следующее - разрешать всем доступ на сайты, удовлетворяющее маске *yammer*, пропустит ли TMG 2010 пользователя вот по такому пути: http : // yammer . com / sitename (без пробелов, естественно)? Как ни странно, ответом будет однозначное НЕТ. В то же время, если в правиле изменить маску на *yammer.com - файр станет пускать на все сайты группы yammer.com и все их подразделы, что и требовалось.
Эх, старпер я, как есть старпер. До сих пор мыслю категориями DOS, но ведь и работали они до сих пор...
-
-
12.09.2012 в 12:55-
-
12.09.2012 в 13:55