Ping su wan
-
Un saluto a tutti,dopo aver fatto un test su grc.com ho notato che il firewall risponde ai ping , ho creato un regola su rules wan in questo modo
Action=block
Interf=wan
Protoc=icmp
Icmp type=any
Source=any
Destin=any
i ping anche con questa regola vengono accettati,non capisco dove sbaglio.Il firewall gira su esxi,altre regole impostate tipo ssh da remoto rispondono bene ai pass e block.Grazie mille x eventuali suggerimenti. -
Ciao, il comportamento e' abbastanza anomalo. In alcuni casi ho riscontrato una perdita di allineamento tra la configurazione xml ed i singoli file di configurazione dei vari servizi. dato che si tratta di una macchina virtuale ti consiglierei di crearla da zero. Ciao Fabio
-
Grazie mille per la risposta,proverò ad reinstallare esxi e faccio sapere. Ciao
-
Sono convinto che l'esxi e il file xml non centrino nulla.
Potresti dare più dettagli sul tuo hardware:
presenza di router
configurazione della porta wen (se è in ppoe o cosa)
quanti ip disponibili hai lato wan ecc ecc -
Salve, subito ti faccio sapere il mio hardware HP microserver con 2 sk di rete, connessione tramite router T.I. pirelli. Wan config in modo statico 192.168.1.200 con il suo gateway verso il pirelli con 192.168.1.1.Un solo indirizzo ip dinamico. Precedentemente ho configurato il server in modo puro senza esxi e tutto andava bene i ping riuscivo a controllarli. Penso che il problema sia nella config della sk di rete lato wan che ho configurato come adpter E1000.Riprovo a config il firewall su esxi con adapter diversi e faccio sapere. Nel frattempo ogni consiglio e ben accettato.Ciao.
-
Ciao.
Allora il tipo di adapter non centra, tu hai impostato e1000 che poi è una intel a giga.
Immagino che la nat del pirelli l'abbia girata totalmente verso l'ip wan di pf ,poi proverei a verificare come è impostata la rete sull'esxi: dovresti avere 2 vmnetwork e la managment network solo sulla scheda di rete che sta nella lan.
Per ultimo verificare che la regola del blocco any to any sia ultima. -
Grazie mix l'interessamento,allora il nat del pirelli è girata totalmente sulla wan il pf lo fà in modo automatico.La rete sull'esxi è configurata
con la vmnic0 switch1 che guarda il router e la vmnic1 switch0 che guarda la lan,inoltre la mng netw effetivamente si trova solo su vmnic1.
La regola è per ultima.La cosa strana è che ho attivato il controllo ssh da remoto e riesco a gestirlo block o pass.
Ciao![- vSphere Client.png](/public/imported_attachments/1/- vSphere Client.png)
![- vSphere Client.png_thumb](/public/imported_attachments/1/- vSphere Client.png_thumb) -
Ok. Grazie per i dettagli…..potresti fare questa contro prova: metti un pc nello strato wan (per capirci lo strato di rete che interconnette il pirelli con pf) e provi la regola inquisita (ed altre magari). Se funzionano le regole significa che chi ti risponde al ping da esterno è il pirelli. Se fosse vera la mia sensazione ti conviene metterti in bridge con la linea adsl togliendoti uno strato di rete e semplificando la vita a te e al tcp/ip.
-
Effettivamente impostando l' interface Wan su type PPPoE va tutto bene,per assicurarmi che non fosse il router pirelli ,ho configurato un cisco 877 con nat e senza acl di deny sui ping ,quindi ho rimesso la wan su static così torna a non funzionare.Posso assicurare che quando il pf lavorava senza esxi tutto andava bene sia in
static che pppoe.Che altra prova più mirata potrei fare?
Grazie -
Bene direi che hai fatto le prove necessarie….posso darti il consiglio di mettere in rfc1438bridge mode e fare il pppoe direttamente da pf....aumenti la trasparenza e hai garanzia che è la porta di pf pubblicata in internet per tanto per proprietà transitiva hai la garanzia che le regole funzionano e nessun apparato ti intercetta pacchetti, azzerando la potenziale malformazione per non parlare del fatto che se usi asterisk o voip in generale aumenti qualità audio e diminuisci le latenze.
Il perchè senza esxi funzionava credo che sia stato un falso positivo o RIP attivi e mail configurati (sono ipotesi le mie). -
grazie mille x l'aiuto,continuo a fare qualche prova e se c'è qualche novità la posto.