USG 60, Очередные приколы интерфеса (функционала, работы)

Pavel
Pavel Публикаций: 109  Ally Member
First Anniversary Friend Collector First Comment
отредактировано мая 2020 Раздел: Техническая поддержка
Забегая вперед  скажу - на версии 4,35 WK08 -11 показывало нормально.
Теперь по порядку
Создаем свой сервис и создаем группу (видно на скрине с полиси)

создаем правило NAT


При этом в протоколах становится - ANY, хотя используется указанное выше.

Cоздаем полиси, опять же очень удобно, что нельзя в качестве источника использовать AddressGroup.


В результате в логе

Вопрос - почему на 4,35 показывало нормальный созданный сервис, а теперь вдруг - service others.
В syslog выдается такое же сообщение.

P.S.
Моя конфигурация в саппорте есть. И я даже уверен , что на Вашем стенде все ништяк.

«1

All Replies

  • onatoli4
    onatoli4 Публикаций: 207  Zyxel Employee
    First Anniversary 10 Comments Nebula Gratitude Friend Collector
    Pavel said:
    создаем правило NAT


    При этом в протоколах становится - ANY, хотя используется указанное выше.
    Становится ANY, потому что это группа сервисов (там и TCP, и UDP может быть).
  • onatoli4
    onatoli4 Публикаций: 207  Zyxel Employee
    First Anniversary 10 Comments Nebula Gratitude Friend Collector
    Pavel said:
    Cоздаем полиси, опять же очень удобно, что нельзя в качестве источника использовать AddressGroup.

    В качестве адреса источника в фаерволе можно выбрать группу адресов, или не то имеется в виду?
  • onatoli4
    onatoli4 Публикаций: 207  Zyxel Employee
    First Anniversary 10 Comments Nebula Gratitude Friend Collector
    Pavel said:


    В результате в логе

    Вопрос - почему на 4,35 показывало нормальный созданный сервис, а теперь вдруг - service others.
    В логе срабатывает WAN to ANY, а в правиле WAN to LAN1 - может есть другое подходящее более приоритетное правило?
  • Pavel
    Pavel Публикаций: 109  Ally Member
    First Anniversary Friend Collector First Comment
    отредактировано мая 2020
    onatoli4 said:

    Становится ANY, потому что это группа сервисов (там и TCP, и UDP может быть).
    Хотелось бы , чтобы отдельно было TCP и UDP. Как у других вендоров. без обобщений
    При этом , если зайти в лог usg - там написан и нужный сервис и тип протокола .
  • Pavel
    Pavel Публикаций: 109  Ally Member
    First Anniversary Friend Collector First Comment
    onatoli4 said:
    Pavel said:
    Cоздаем полиси, опять же очень удобно, что нельзя в качестве источника использовать AddressGroup.

    В качестве адреса источника в фаерволе можно выбрать группу адресов, или не то имеется в виду?
    Нет . Хочется сразу при создании NAT правила указать группу адресов из созданных ранее объектов.
  • Pavel
    Pavel Публикаций: 109  Ally Member
    First Anniversary Friend Collector First Comment
    onatoli4 said:

    В логе срабатывает WAN to ANY, а в правиле WAN to LAN1 - может есть другое подходящее более приоритетное правило?
    выше него только одно активное правило  с направлением WAN to ANY - и оно блочит в ручную созданный список хакерских адресов. 
    Конфигурация есть в ТП.
  • onatoli4
    onatoli4 Публикаций: 207  Zyxel Employee
    First Anniversary 10 Comments Nebula Gratitude Friend Collector
    Pavel said:
    onatoli4 said:

    Становится ANY, потому что это группа сервисов (там и TCP, и UDP может быть).
    Хотелось бы , чтобы отдельно было TCP и UDP. Как у других вендоров. без обобщений
    При этом , если зайти в лог usg - там написан и нужный сервис и тип протокола .
    Если указать один сервис, то он покажет TCP или UDP, а сейчас выбрана группа сервисов (в которую входят и TCP и UDP) - поэтому показывает any. Что тут, по вашему, нужно показывать? TCP+UDP? какой в этом смысл? С аny и так понятно, что это группа сервисов и там может быть tcp и udp. 
  • onatoli4
    onatoli4 Публикаций: 207  Zyxel Employee
    First Anniversary 10 Comments Nebula Gratitude Friend Collector
    Pavel said:
    onatoli4 said:
    Pavel said:
    Cоздаем полиси, опять же очень удобно, что нельзя в качестве источника использовать AddressGroup.

    В качестве адреса источника в фаерволе можно выбрать группу адресов, или не то имеется в виду?
    Нет . Хочется сразу при создании NAT правила указать группу адресов из созданных ранее объектов.
    В source_ip?  Эта функция появилась недавно и на данный момент группу указать там нельзя, только диапазоном\подсетью.
  • onatoli4
    onatoli4 Публикаций: 207  Zyxel Employee
    First Anniversary 10 Comments Nebula Gratitude Friend Collector
    Pavel said:
    onatoli4 said:

    В логе срабатывает WAN to ANY, а в правиле WAN to LAN1 - может есть другое подходящее более приоритетное правило?
    выше него только одно активное правило  с направлением WAN to ANY - и оно блочит в ручную созданный список хакерских адресов. 
    Конфигурация есть в ТП.
    Видимо, конфиг изменился, там описанное выше правило седьмое.  
    secure-policy 7
     name VIPNET
     from WAN
     to LAN1
     destinationip VipnetCoordinator
     service VIPNET
     action allow
  • Pavel
    Pavel Публикаций: 109  Ally Member
    First Anniversary Friend Collector First Comment
    onatoli4 said:
    , а сейчас выбрана группа сервисов (в которую входят и TCP и UDP) - поэтому показывает any. Что тут, по вашему, нужно показывать? TCP+UDP? какой в этом смысл? С аny и так понятно, что это группа сервисов и там может быть tcp и udp. 
    DВ логе видно следующее

    Поэтому и хочется . чтобы и в даше показывало так же . а то здесь мы покажем так , в другом месте эдак. фИговый подход, это лично мое мнение, как обыкновенного пользователя .