Всем привет.
Столкнулся с проблемой при переходе с R77.30 на R80.10 - в какой-то момент потерял доступ по HTTPs на свои устройства 4600 в кластере. Сразу на обе (позже пришел к выводу, что потерял после активации application blade - смотрите ниже).
Думал поначалу, что мешает MAB blade. Искал-искал проблему - не нашел. Открыл кейс (3-0610437711). Там мне предложили поставить обновление (крайний take). Очевидно, что мне это бы не помогло. Кейс закрыл. Пошел разбираться сам.
В логах видел следующее:
Dropped by multiportal infrastructure - Implied Rule 0
При этом на вкладке со связанными правилами вижу, что все разрешено:
Просмотрел в политике Implied Rules - там все разрешено, нигде не встрелил действия drop. Правила с номером 0 тоже не нашел.
В политике POLICY-FW (network) у меня было явное разрешающее правило (доступ из локальной сети к коробкам по https). Правило было перенесено вручную при подготовке миграции с R77.30 на R80.20 (у меня выделенный сервер управления - переносил правила с имеющегося сервера управления).
Однако на уровне приложений явного правила, разрешающего доступ по https к коробкам не было. Дописал. Установил политику. Получил доступ.
Такое решение проблемы меня сильно удивило, т.к. в конце политики приложений у меня стоит deny ip any. И устройство должно было блокировать трафик по этому правилу с указанием в логах номера этого запрещающего правила. Тогда бы и проблемы такой не встало - вполне штатная ситуация, не заслуживающая какого-либо обсуждения.