Здравствуйте,
Не уверен, что делаю правильно. Пожалуйста подскажите.
JUNOS 12.1X46-D10.2 SRX-210
Создал белый лист включающий сети Новой Зеландии.
Лист сетей взял отсюда
https://www.countryipblocks.net/country_selection.php.
Вот белый лист:
show configuration policy-options prefix-list NZ
5.10.84.200/29;
14.1.32.0/19;
14.1.64.0/19;
14.128.4.0/22;
и тд.
Вот фильтр
> show configuration firewall family inet filter INET-filter
term allow_NNOV_http {
from {
source-prefix-list {
NNOV;
}
protocol tcp;
destination-port http;
}
then accept;
}
term reject_unknown_http {
from {
source-address {
0.0.0.0/0;
}
destination-port http;
}
then {
discard;
}
}
term allow_NZ_vpn {
from {
source-prefix-list {
NZ;
}
destination-port [ 443 1723 53 ];
}
then accept;
}
term reject_UNKNOWN_vpn {
from {
source-address {
0.0.0.0/0;
}
destination-port [ 443 1723 53 ];
}
then {
discard;
}
}
term allow {
then accept;
}
Вот фильтр прикручен к внешнему интерфейсу:
> show configuration interfaces at-1/0/0 unit 0 family inet
filter {
input INET-filter;
}
negotiate-address;
dhcp {
update-server;
}
И вроде даже фильтрует: просил друга из Aвтралии проверить - у него ничего недоступно.
Но каким то чудом мне приходят уведомления от syslog сервера:
Date/Time: Jul 18 15:02:01
KMD_VPN_PV_PHASE1: IKE Phase-1 Failure: No proposal chosen [spi=(null), src_ip=xxx.xxx.xxx.xxx, dst_ip=119.77.157.15]
IP Address: 192.168.232.1
Date/Time: Jul 18 08:12:27
KMD_VPN_PV_PHASE1: IKE Phase-1 Failure: No proposal chosen [spi=(null), src_ip=xxx.xxx.xxx.xxx, dst_ip=106.51.57.5]
Date/Time: Jul 17 14:17:28
IKE Phase-1: (Responder) Policy lookup failed [local_ip=xxx.xxx.xxx.xxx remote_ip=80.203.66.238
Что обычно бывает, когда кто то заходит на порт 443 и попадает на страницу DynamicVPN.
Проверил эти адреса - Норвегия, Индия, Тайвань.
Проверил их в моем белом списке - не присутствуют (вернее проверил диапазон сетей куда они могли бы входить).
Ломаю голову как и почему они проходят. Могли бы поделиться идеями пожалуйста?
Заранее спасио.
Сложный
Средний
