topic Re: HTTPS access to CheckPoint firewall R80.10 dropped by Implied Rule 0 in Russian

HTTPS access to CheckPoint firewall R80.10 dropped by Implied Rule 0

EVSolovyev — Wed, 31 Oct 2018 09:08:50 GMT

Всем привет.

Столкнулся с проблемой при переходе с R77.30 на R80.10 - в какой-то момент потерял доступ по HTTPs на свои устройства 4600 в кластере. Сразу на обе (позже пришел к выводу, что потерял после активации application blade - смотрите ниже).

Думал поначалу, что мешает MAB blade. Искал-искал проблему - не нашел. Открыл кейс (3-0610437711). Там мне предложили поставить обновление (крайний take). Очевидно, что мне это бы не помогло. Кейс закрыл. Пошел разбираться сам.

В логах видел следующее:

Dropped by multiportal infrastructure - Implied Rule 0

При этом на вкладке со связанными правилами вижу, что все разрешено:

Просмотрел в политике Implied Rules - там все разрешено, нигде не встрелил действия drop. Правила с номером 0 тоже не нашел.

В политике POLICY-FW (network) у меня было явное разрешающее правило (доступ из локальной сети к коробкам по https). Правило было перенесено вручную при подготовке миграции с R77.30 на R80.20 (у меня выделенный сервер управления - переносил правила с имеющегося сервера управления).

Однако на уровне приложений явного правила, разрешающего доступ по https к коробкам не было. Дописал. Установил политику. Получил доступ.

Такое решение проблемы меня сильно удивило, т.к. в конце политики приложений у меня стоит deny ip any. И устройство должно было блокировать трафик по этому правилу с указанием в логах номера этого запрещающего правила. Тогда бы и проблемы такой не встало - вполне штатная ситуация, не заслуживающая какого-либо обсуждения.

Re: HTTPS access to CheckPoint firewall R80.10 dropped by Implied Rule 0

AlekseiShelepov — Wed, 31 Oct 2018 20:20:57 GMT

Не знаю что тут особо сказать. Есть похожий тред, с вроде бы похожей причиной и решением - Loss of HTTPS and SSH access to ClusterXL members, help?

И есть sk с указанием на MAB, но я так понял, что у вас он выключен. Gaia Web Portal connections are dropped with "dropped by multiportal infrastructure" error in the logs after enabling MAB

Но Jumbo Hotfix и правда лучше установить на R80.10. Только в тексте вы пишете и про R80.10, и про R80.20.

Re: HTTPS access to CheckPoint firewall R80.10 dropped by Implied Rule 0

EVSolovyev — Thu, 01 Nov 2018 04:15:45 GMT

Привет.

Да собственно проблему я решил. Потому это не вопрос. А скорее делюсь опытом.

MAB у меня активирован. Пользуюсь VPNом с мобильных устройств. Из-за этого тоже был затык - перебрасывало на портал вместо доступа к интерфейсу GAIA, а потом отваливалось (после ввода учетных данных, т.к. WEB авторизация у меня отключена). Но это я решил - сам виноват.

Что касается версий, то:

У меня была инсталлация 77.30 где на кластере из двух 4600 крутились и МСЭ и управление. Я их разнес. Теперь у меня система управления 80.20, а кластер межсетевых экранов 80.10.

Re: HTTPS access to CheckPoint firewall R80.10 dropped by Implied Rule 0

Vladimir — Fri, 21 Jun 2019 08:53:42 GMT

Ситуация таки похожа на грабли описаные мной в https://community.checkpoint.com/thread/6544-loss-of-https-and-ssh-access-to-clusterxl-members-help

Для заметки: если лицензия на APPC/URLF просрочена, возможна потеря контроля над устройствами.

В таком случае только unloadlocal через локальную консоль и пераработать политику.