A
хотя вчера на другом оборудовании ровно одним правилом сделал точно такое же правило
Size: a a a
2020 August 04
VS
Вай вай вай...
VO
Ох, помогите, чот в голове уложить не могу трансляцию.
Хотел ДНС запросы на внешний адрес чекпоинта перенаправить на локальный ДНС, правило
Any SRC -> ExternalIP 53tcp/udp Original SRC -> local IP original port
Из интернета это работает, Но не из локалки, сервер напрямую отвечает клиенту, а тот этого не ожидает.
Как подменять еще и SRC для локальных случаев не пойму
Хотел ДНС запросы на внешний адрес чекпоинта перенаправить на локальный ДНС, правило
Any SRC -> ExternalIP 53tcp/udp Original SRC -> local IP original port
Из интернета это работает, Но не из локалки, сервер напрямую отвечает клиенту, а тот этого не ожидает.
Как подменять еще и SRC для локальных случаев не пойму
При использовании NAT роутинг должен быть симметричным. Поэтому DNS сервер должен маршрузировать ответы обратно на шлюз. Самое простое это делать src NAT длч DNS запросов в какой-то внешний адрес или адрес шлюза. Зачем только в локалке внешний ip DNS использовать, тоже вопрос, но отдельный )
A
При использовании NAT роутинг должен быть симметричным. Поэтому DNS сервер должен маршрузировать ответы обратно на шлюз. Самое простое это делать src NAT длч DNS запросов в какой-то внешний адрес или адрес шлюза. Зачем только в локалке внешний ip DNS использовать, тоже вопрос, но отдельный )
ну не выдавать же простенькому серверу внешний адрес на пустом месте?
A
а с SRC нат все не так просто
NAT Rule 1: You cannot use the Network Group (Net) as the Original Source.
The Network Group is only valid if the value of the matching translated column is 'Original' or if the Translated Source is 'Host'/'Address Range' and the Method is 'Hide'.
NAT Rule 1: You cannot use the Network Group (Net) as the Original Source.
The Network Group is only valid if the value of the matching translated column is 'Original' or if the Translated Source is 'Host'/'Address Range' and the Method is 'Hide'.
VO
Речь не про сервер, а DNS клиентов. Их адреса нужно транслировать, если они обращаются к серверу через шлюз
A
Речь не про сервер, а DNS клиентов. Их адреса нужно транслировать, если они обращаются к серверу через шлюз
ДНС держит зону, эту зону могут опрашивать клиенты, но через другой ДНС сервер, в теории мне достаточно ему явно указать форвардер локальный адрес, но я точно уверен, что ровно через полгода что-то сломается
VS
ДНС держит зону, эту зону могут опрашивать клиенты, но через другой ДНС сервер, в теории мне достаточно ему явно указать форвардер локальный адрес, но я точно уверен, что ровно через полгода что-то сломается
VS
Если вы хотите разделить на две зоны - внешнюю и внутреннюю, то можно сделать так
r
Всем доброго здравия!
Нубский вопрос про Sandblast: положим, имеется идея использовать Sandblast без Security Gateway. Например, поставив сбоку и зеркалируя трафик; либо пользуя Sandblast как MTA для проверки почты в песочнице. Судя по KB, такое возможно.
Вопросы:
1). Это вообще имеет смысл? Что теряется из возможностей Sandblast в отсутствии SG (если вообще теряется).
2). Если ответ на 1) - "да", то как апплайнс будет управляться, политики, настройки и вот это всё? Алерты слать, понятно, он будет в Management Server, но нигде не нашел инфы про настройку политики для Sandblast в отрыве от шлюза.
Спасибо!
Нубский вопрос про Sandblast: положим, имеется идея использовать Sandblast без Security Gateway. Например, поставив сбоку и зеркалируя трафик; либо пользуя Sandblast как MTA для проверки почты в песочнице. Судя по KB, такое возможно.
Вопросы:
1). Это вообще имеет смысл? Что теряется из возможностей Sandblast в отсутствии SG (если вообще теряется).
2). Если ответ на 1) - "да", то как апплайнс будет управляться, политики, настройки и вот это всё? Алерты слать, понятно, он будет в Management Server, но нигде не нашел инфы про настройку политики для Sandblast в отрыве от шлюза.
Спасибо!
M
зеркалируя трафик вы не предотвратите проникновение зловреда в сеть
IA
Всем доброго здравия!
Нубский вопрос про Sandblast: положим, имеется идея использовать Sandblast без Security Gateway. Например, поставив сбоку и зеркалируя трафик; либо пользуя Sandblast как MTA для проверки почты в песочнице. Судя по KB, такое возможно.
Вопросы:
1). Это вообще имеет смысл? Что теряется из возможностей Sandblast в отсутствии SG (если вообще теряется).
2). Если ответ на 1) - "да", то как апплайнс будет управляться, политики, настройки и вот это всё? Алерты слать, понятно, он будет в Management Server, но нигде не нашел инфы про настройку политики для Sandblast в отрыве от шлюза.
Спасибо!
Нубский вопрос про Sandblast: положим, имеется идея использовать Sandblast без Security Gateway. Например, поставив сбоку и зеркалируя трафик; либо пользуя Sandblast как MTA для проверки почты в песочнице. Судя по KB, такое возможно.
Вопросы:
1). Это вообще имеет смысл? Что теряется из возможностей Sandblast в отсутствии SG (если вообще теряется).
2). Если ответ на 1) - "да", то как апплайнс будет управляться, политики, настройки и вот это всё? Алерты слать, понятно, он будет в Management Server, но нигде не нашел инфы про настройку политики для Sandblast в отрыве от шлюза.
Спасибо!
В такой конфигурации у вас шлюз будет на самом сандбласте (то есть всякие active и не очень стриминги будет выполнять песочница). Соответственно, вы потеряете какую-то (часто существенную) долю перформанса эмуляции на этот самый стриминг
IA
Если коротко - техникалли посибл, но не надо так делать
VS
Плюс на песке понадобится лицензия ngtx, которая не нужна в случае наличия шлюза
IA
Плюс на песке понадобится лицензия ngtx, которая не нужна в случае наличия шлюза
Ну я очень надеюсь, что речь идет о РОС, а не о проде :)
r
В такой конфигурации у вас шлюз будет на самом сандбласте (то есть всякие active и не очень стриминги будет выполнять песочница). Соответственно, вы потеряете какую-то (часто существенную) долю перформанса эмуляции на этот самый стриминг
Правильно ли я понял, что внутри Sandblast Appliance, помимо песочницы, живет и шлюз? Туда утснавлвается свежая Gaia и получается шлюз+песочница на одной железке?
IA
Правильно ли я понял, что внутри Sandblast Appliance, помимо песочницы, живет и шлюз? Туда утснавлвается свежая Gaia и получается шлюз+песочница на одной железке?
Да, образ унифицирован. Там можно и смарт запустить
IA
Но это вообще очень очень плохая идея :)
IA
Поковырять прикола ради можно