Не решено Отладить правило для доступа

Pogreb

Почетный гость
Всем привет.
Есть FG100D 6.2.10
Внутри FG два VDOM
Задача: нужно из сети в Интернете 12.201.8.10 сделать доступ к внутреннему серверу 10.33.100.23 по порту 636
Я создал VIP, создал правило.
Если я в правиле souce укажу all, то проброс работает.
Если я в правиле source укажу 12.201.8.10, то проброс не работает.
Помогите, пожалуйста правильно продиагностировать проблему.
Я выполнил команду diagnose sniffer packet any "host 12.201.8.10" 4 0 a на VDOM root но у меня в консоле тишина, нет ни одного пакета
Спасибо!
 

Вложения

  • inv.JPG
    inv.JPG
    48,4 КБ · Просмотры: 2
Последнее редактирование:

deadushka

Участник
Правило разрешает от All к двум КД 636 порт, ssl не разбирается.
По-моему куда то в сторону NAT надо думать. 12.201.8.0 это какая то vpn сеть ?

Я думаю 12.201.8.10 этот адрес натится и вы не тот указываете. Попробуйте сеть указать 12.201.8.0/24 как source
 

Pogreb

Почетный гость
Правило разрешает от All к двум КД 636 порт, ssl не разбирается.
По-моему куда то в сторону NAT надо думать. 12.201.8.0 это какая то vpn сеть ?

Я думаю 12.201.8.10 этот адрес натится и вы не тот указываете. Попробуйте сеть указать 12.201.8.0/24 как source
12.201.8.10 - это вымышленная сеть.
Я тоже предполагаю, что сеть 12.201.8.10 натится и к внутреннему серверу прилетает ip vdom root, я добавлял ip vdom root - не помогло
Вот ищу команду, чтобы сначала понять что прилетает на root, потом что на proxy и отредактировать правило

Между VDOM ROOT и VDOM PROXY есть правило которое ВСЕМ ВСЕ разрешено
 
Последнее редактирование:

NanoSuit

Специалист
может трассировку какую-нибудь обычную сделать, или просто попробовать заломиться на 636 порт через телнет. Потом посмотреть лог
 

Pogreb

Почетный гость
может трассировку какую-нибудь обычную сделать, или просто попробовать заломиться на 636 порт через телнет. Потом посмотреть лог
Ровно так тест и делаю.
С подсети 12.201.8.10 делаю телнет
НА фортке запускаю diagnose sniffer packet any "host 12.201.8.10" 4 0 a
и пакетов нет что при условии в source all, что чисто сеть 12.201.8.10
Вообще пакетов нет никаких
 

albatros

Участник
попробуй wireshark ом посмотреть что происходит
 
Верх