Evgeniy Solovyev

HTTPS access to CheckPoint firewall R80.10 dropped by Implied Rule 0

Blog Post created by Evgeniy Solovyev on Oct 31, 2018

Всем привет.

 

Столкнулся с проблемой при переходе с R77.30 на R80.10 - в какой-то момент потерял доступ по HTTPs на свои устройства 4600 в кластере. Сразу на обе (позже пришел к выводу, что потерял после активации application blade - смотрите ниже).

 

Думал поначалу, что мешает MAB blade. Искал-искал проблему - не нашел. Открыл кейс (3-0610437711). Там мне предложили поставить обновление (крайний take). Очевидно, что мне это бы не помогло. Кейс закрыл. Пошел разбираться сам.

 

В логах видел следующее:

 

Dropped by multiportal infrastructure - Implied Rule 0

 

Dropped by multiportal infrastructure - Implied Rule

 

При этом на вкладке со связанными правилами вижу, что все разрешено:

 

 

Просмотрел в политике Implied Rules - там все разрешено, нигде не встрелил действия drop. Правила с номером 0 тоже не нашел.

 

В политике POLICY-FW (network) у меня было явное разрешающее правило (доступ из локальной сети к коробкам по https). Правило было перенесено вручную при подготовке миграции с R77.30 на R80.20 (у меня выделенный сервер управления - переносил правила с имеющегося сервера управления).

 

Однако на уровне приложений явного правила, разрешающего доступ по https к коробкам не было. Дописал. Установил политику. Получил доступ.

 

 

Такое решение проблемы меня сильно удивило, т.к. в конце политики приложений у меня стоит deny ip any. И устройство должно было блокировать трафик по этому правилу с указанием в логах номера этого запрещающего правила. Тогда бы и проблемы такой не встало - вполне штатная ситуация, не заслуживающая какого-либо обсуждения.

Outcomes