Какие порты и протоколы указывать в межсетевом экране? GRE

[sadminRN]

Добрый день задача непростая

Машина с банк-клиентом установлена за межсетевым экраном.

Прописали правила хождения трафика по 87 UDP, 1239 TCP на внешние указанные IP адреса.
Опытным путем определили что этого недостаточно.
Добавили правило:

Разрешили ходить по протоколу GRE на внешние указанные IP адреса. ЗАработало.

Есть правильное описание информационного обмена ?

 

[Alex_]

<r>Клиенту для функционирования необходим udp 87. Проверить доступность данного протокола можно с помощью специальной программы:
<URL url="http://amicon.ru/faq.htm#cli16">http://amicon.ru/faq.htm#cli16</URL></r>

 

[sadminRN]

<r>Смотрите
"Прописали правила хождения трафика по 87 UDP, 1239 TCP на внешние указанные IP адреса.
Опытным путем определили что этого недостаточно. "

в обмене участвует протокол GRE


Кроме <URL url="http://amicon.ru/faq.htm#cli16">http://amicon.ru/faq.htm#cli16</URL> есть более официальная информация?</r>

 

[Alex_]

В итоге тест клиент что показывает?
Тестовому клиенту, равно как и ip-клиенту необходим только udp 87.

 

[sadminRN]

А какой смысл запускать тест?

В настоящий момент клиент работает отлично.

Мы должны выставить машину с клиент банком в отдельный vlan
который закрыт МЭ.
На нем прописать правила
1. хождения трафика по 87 UDP, 1239 TCP на внешние указанные IP адреса.
Опытным путем определили что этого недостаточно.
Добавили правило:
Разрешили ходить по протоколу GRE на внешние указанные IP адреса. ЗАработало.
Как вы это объясните ?

 

[TANK]

Что то не пойму тебя. ЗАработало, что есче нужно. и что именно тебе не достаточно...

 

[sadminRN]

<r><QUOTE author="TANK"><s>

</s>Что то не пойму тебя. ЗАработало, что есче нужно. и что именно тебе не достаточно...<e>

</e></QUOTE>

это тестовый МЭ (на линуксе) который поднят только для обработки правил.
Сначала были правила на бумаге решили проверить на тестовом МЭ.
В принципе выше я разжевал уже все что мог больше слов нет.


скоро приедет настоящий боевой МЭ
на боевом МЭ менять ничего нельзя!!!
поэтому и спрашиваю. Мне утверждают что необходим еще и GRE
Кто докажет что его не надо указывать ?

да, поправка - 1239 TCP во внешнем обмене не участвует. Так приложение Сбербанка обращается к ФПСУ-IP Клиенту</r>

 

[AMI_FMS]

<r>ФПСУ-IP/Клиент использует исходящее соединение по протоколу UDP/87.

Запрос к серверу ФПСУ отправляется с динамического порта UDP (1024-65535) на адрес ФПСУ по протоколу UDP на порт 87. Комплекс ФПСУ, получив запрос отвечает ФПСУ-IP/Клиенту с порта 87 на тот порт, с которого посылался запрос. И так для каждого сетевого пакета.

Если Вы разрешаете обмен в обе стороны только по порту 87, то ФПСУ-IP/Клиент работать у Вас не будет.

Современным файрволам достаточно описать <B><s></s>исходящее<e></e></B> соединение на порт 87 протокола UDP. То, что ответы будут посылаться на те порты, с которых пришел запрос не обязательно. С использованием динамических портов работают многие приложения (напрмер Internet Explorer). Поэтому для простоты везде указывается, что используется только этот протокол.

Вы можете посмотреть, какие пакеты блокирует Ваш файрвол или установить сетевой анализатор на рабочую станцию с ФПСУ-IP/Клиент чтобы увидеть, какие порты и протоколы участвуют в обмене с комплексом ФПСУ.</r>

 

[sadminRN]

Уважаемые разработчики из компании АМИКОН
вы можете мне сказать что в работе ФПСУ IP клиента не используется протокол GRE?

Вариантов ответа всего 2:

1. да используется
2. нет не используется

 

[Roman_Sein]

<r><QUOTE author="sadminRN"><s>

</s>
1. да используется
2. нет не используется<e>

</e></QUOTE>
<B><s></s>Нет, не используется.<e></e></B></r>