Foro en Español

Reply
Occasional Contributor II
Posts: 19
Registered: ‎01-29-2015

Instant-Inbound firewall

Estoy trasteando la nueva funcionalidad de inbound firewall rules para poder hacer un escritorio remoto a un equipo cableado al iAP aun cuando no se haya logado ningún usuario.

 

Tengo la siguiente configuración:

inbound-firewall
          rule a.b.c.d 255.255.255.255 any any match tcp 3389 3389 permit log

 

 wired-port-profile VPN_CI_GUEST
           ....

          set-role-pre-auth VPN_PRE_GUEST

 

wlan access-rule "VPN_PRE_GUEST"

             ! varias reglas para acceso al portal cautivo y al final

          rule any any match any any any deny

 

NO consigo que me funcione. En el AP veo que:

 

TO/FOMENTO//1/1-AP1# sh clients wired

Wired Client List
-----------------
Name IP Address MAC Address OS Network Access Point Role Speed (mbps)
---- ---------- ----------- -- ------- ------------ ---- ------------
e.f.g.h 70:5a:b6:6e:a7:77 eth1 TO/FOMENTO//1/1-AP1 VPN_PRE_GUEST -

 

Cuando lanzo la conexión de terminal server veo en el log del AP:

show log security

Jul 11 12:37:56  stm[2095]: <124006> <WARN> |AP TO/FOMENTO//1/1-AP1@u.v.w.x stm|  TCP srcip=a.b.c.d srcport=54651 dstip=e.f.g.h dstport=3389, action=permit

 

es decir que el paquete TCP-SYN de conexión desde fuera al PC que hay tras el AP con IP e.f.g.h está permitido, pero al hacer show datapath session veo que el flujo está como deny:

 

TO/FOMENTO//1/1-AP1# show datapath session | include a.b
a.b.c.d e.f.g.h 6 54651 3389 0 0 0 0 dev5 7 FDYC

 

y hacer un dump del tráfico veo que:

Received packet from bond0 (timestamp (2016-6-11 10:03:53:429776))
[asap_firewall_forward(5055):firewall entry] len 66, vlan 0, egress CP, ingress bond0:
#mac: etype 0800 smac e0:3f:49:ed:7a:e0 dmac 9c:1c:12:cb:55:ba
#ip: sip a.b.c.d, dip e.f.g.h, proto 6, dscp 0, dont fragment, last fragment, fragment offset 0
#tcp: sport 54651 dport 3389, hdr len 32, syn
[asap_firewall_forward(5229):vlan decision] len 66, vlan 1, egress CP, ingress bond0:
[asap_firewall_forward(6072):session section] len 66, vlan 1, egress CP, ingress bond0:
[asap_firewall_forward(6266):fastpath returned 1 opcode 4] len 66, vlan 1, egress CP, ingress bond0:
[asap_mip_frame_mss_check_n_update(39):fastpath mss clamped from 1372 to 1184] len 66, vlan 1, egress CP, ingress bond0:
#mac: etype 0800 smac e0:3f:49:ed:7a:e0 dmac 9c:1c:12:cb:55:ba
#ip: sip a.b.c.d, dip e.f.g.h, proto 6, dscp 0, dont fragment, last fragment, fragment offset 0
#tcp: sport 54651 dport 3389, hdr len 32, syn
[asap_firewall_forward(6298):slowpath section: opcode 4] len 66, vlan 1, egress CP, ingress bond0:
[asap_firewall_forward(6534):back to fastpath, opcode 0] len 66, vlan 1, egress CP, ingress bond0:
[asap_firewall_forward(7563):dropping packet - opcode 0] len 66, vlan 1, egress CP, ingress bond0:

 

 

¿Alguna idea o sugerencia?

Moderator
Posts: 918
Registered: ‎07-29-2010

Re: Instant-Inbound firewall

Hola Carlos

 

Corrígeme si me equivoco, pero creo interpretar que el escritorio remoto lo tienes en un PC que está conectado detrás del IAP, es decir, conectado a los puertos de usuario. ¿Cierto?

 

La funcionalidad de "inbound firewall" aplica al tráfico que te entra por el interfaz de "uplink", no por los interfaces de usuario. Por tanto, si el escritorio remoto está detrás del AP, tendrás que aplicar la ACL en el role de preauth.

 

Saludos

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Occasional Contributor II
Posts: 19
Registered: ‎01-29-2015

Re: Instant-Inbound firewall

Quizá me equivoque en el concepto.

 

El equipo al que quiero acceder está en un PC conectado a un puerto de usuario e intento acceder a dicho PC desde el uplink. Para eso entendía que se había implementado esta funcionalidad.

Moderator
Posts: 918
Registered: ‎07-29-2010

Re: Instant-Inbound firewall

Eso ya estaba soportado desde hace tiempo en modo IAP-VPN con redes a nivel 3. La cuestión es que si el role del usuario no te permite la conexión de escritorio remoto, el firewall del AP no te dejará conectarte al aparato en cuestión.

 

Si quieres mándame un correo y lo vemos más en detalle.

Samuel Pérez
ACMP, ACCP, ACDX#100

---

If I answerd your question, please click on "Accept as Solution".
If you find this post useful, give me kudos for it ;)
Search Airheads
Showing results for 
Search instead for 
Did you mean: