Jump to content

Recommended Posts

Posted

Добрый день, комьюнити.

 

Может кто-то с последними версиями KSC и KES выполнить у себя небольшую проверку работы импорта/экспорта настроек сетевого экрана.

Для проверки надо

Создать пустую политику KES11.5.

В правилах для пакетов сетевого экрана создать три новых правила. Все три правила разрешить:

  1. входящий доступ на 3389 порт.
  2. С любого на любого IP
  3. Разные имена правил (типа Правило 1, Еще правило 2, другое правило 3)
  4. Экспортировать правила фильтрации в XML
  5. Импортировать правила фильтрации из XML

У меня, в случае если порты в правилах полностью совпадают, после импорта все правила получают одно имя, первое. (Несмотря на то, что в XML файле имена у правил разные).

 

PS: Можно просто импортировать файл, который я приложил. И сказать, разные имена правил получились, или одинаковые.

 

Спасибо!

Posted

Добрый день, lorder.

Поспешили Вы с переходом на 11.5.

Некоторый функционал убрали из KES, что-то добавили и, как будто, не протестировали вообще. Обратите внимание, что экспортируя и импортируя, казалось бы, только настройки сетевого экрана, на самом деле при этом Вы экспортируете и импортируете также ВСЕ настройки HIPS!

У меня тоже криво работает импорт. Даже не хочется описывать все варианты того как это выглядит.

Как у Вас при экспорте получился такой маленький xml файл?

Помочь в данном случае сможет только техподдержка, точнее разработчики, выпустив приватный патч. Эту проблему либо будут долго решать, т.к. она “некритичная”, либо решение появится только в следующей версии. Я рекомендую создать универсальную политику (профиль политики) со всеми возможными настройками сетевого экрана, а затем её (его) копировать и удалять лишние правила.

Posted

Добрый день, lorder.

Поспешили Вы с переходом на 11.5.

Возможно. Но я просил и ждал экспорт/импорт несколько лет. Еще, кажется с с 9-й версии.

У меня тоже криво работает импорт. Даже не хочется описывать все варианты того как это выглядит.

Проблему с именами я проверил на трех KSC и на версиях 12.0.0, 12.1, 12.2. Везде она остается в неизменном виде.

Но техническая поддержка, вместо того, что-бы импортировать мой простой маленький XML  файл, увидеть проблему, и выдать заключение, по своему обыкновению просит собрать getsystemino и трассировки именно с моих серверов. Не понимаю зачем.

Как у Вас при экспорте получился такой маленький xml файл?

Этот файл я сделал сам. На основе экспорта. Потихоньку разбираюсь в структуре. В целом там почти все понятно, есть несколько атрибутов, назначение (или правила формирования) которых я не могу выяснить. Но в целом для редактирования уже всё понятно. Всё работает, кроме бага с именами при совпадении портов в правилах.

При чем этот баг наблюдается их XML, без всяких попыток редактирования.

Я рекомендую создать универсальную политику (профиль политики) со всеми возможными настройками сетевого экрана, а затем её (его) копировать и удалять лишние правила.

Но у меня другая задача. Сделать простую политику с запретом. И добавлять только то, что нужно (по заявкам).

  • 3 months later...
Guest
This topic is now closed to further replies.


×
×
  • Create New...