Firewall

Update IOS Apple Error WiFi Sonicwall “Drop Code: 41, Module ID: 26”

Hoje me deparei com o seguinte cenário:

Rede WiFi de visitantes –> Atualização IOS Apple 8.1 –> Download concluído com sucesso –> IOS Apple faz mais uma checagem antes do Update, neste momento recebemos a mensagem, “Não possível fazer atualização, por favor verificar sua conexão com Internet.

Olhando os logs do firewall obtive o seguinte erro:
Ethernet Header
 Ether Type: IP(0x800), Src=[f0:db:f8:96:07:82], Dst=[00:17:c5:e0:12:48]
IP Packet Header
 IP Type: TCP(0x6), Src=[192.168.31.134], Dst=[17.151.36.30]
TCP Packet Header
 TCP Flags = [ACK,PSH,], Src=[49534], Dst=[80], Checksum=0x20e
Application Header
 HTTP
Value:[0]
DROPPED, Drop Code: 41, Module Id: 26, (Ref.Id: _4996_uyHtJcpfngKrRmv) 2:2)

Drop Code: 41 IDP Detection

Solução rápida, colocar sua rede WiFi na “Excluision List IPS” e habilitar em Firewall –> App Control Advanced –> Configure App Control Setting –> “Enable Application Control Exclusion List” depois –> “Use IPS Excluison List”

OU pode ir na FONTE em Control App Advantage

PROXY-ACCESS

NON_SSL_TRAFFIC_OVER_SSL_PORT

PROXY RESQUEST

HTTP Proxy

Seja feliz!!!

ICMP Windows Azure

No Windows Azure o ICMP ou PING não é liberado por padrão.

Mas podemos usar o Sysinternals para resolver isso.

1º Baixe a ferramente SysInternals.

http://technet.microsoft.com/en-us/sysinternals/bb842062.aspx

Após descompacte, abra o prompt como administrator, abra o diretório PSTools e execute o comando.

Em sua maquina por exemplo.

Psping 191.237.251.23:80 (IP ou nome dois pontos e a porta)

C:\BKP-CHARLES\Downloads\PSTools>psping.exe 191.237.251.23:80

PsPing v2.01 – PsPing – ping, latency, bandwidth measurement utility
Copyright (C) 2012-2014 Mark Russinovich
Sysinternals – http://www.sysinternals.com

TCP connect to 191.237.251.23:80:
5 iterations (warmup 1) connecting test:
Connecting to 191.237.251.23:80 (warmup): 5.69ms
Connecting to 191.237.251.23:80: 5.63ms
Connecting to 191.237.251.23:80: 6.67ms
Connecting to 191.237.251.23:80: 5.54ms
Connecting to 191.237.251.23:80: 6.13ms

TCP connect statistics for 191.237.251.23:80:
Sent = 4, Received = 4, Lost = 0 (0% loss),
Minimum = 5.54ms, Maximum = 6.67ms, Average = 5.99ms

C:\BKP-CHARLES\Downloads\PSTools>

==============================================================================================

Agora de dentro da VM no Windows Azure

C:\Users\admin.azure>cd..

C:\Users>cd..

C:\>cd PSTools

C:\PSTools>psping.exe yahoo.com:80

PsPing v2.01 – PsPing – ping, latency, bandwidth measurement utility
Copyright (C) 2012-2014 Mark Russinovich
Sysinternals – http://www.sysinternals.com

TCP connect to 206.190.36.45:80:
5 iterations (warmup 1) connecting test:
Connecting to 206.190.36.45:80 (warmup): 201.09ms
Connecting to 206.190.36.45:80: 198.17ms
Connecting to 206.190.36.45:80: 196.82ms
Connecting to 206.190.36.45:80: 196.81ms
Connecting to 206.190.36.45:80: 197.10ms

TCP connect statistics for 206.190.36.45:80:
Sent = 4, Received = 4, Lost = 0 (0% loss),
Minimum = 196.81ms, Maximum = 198.17ms, Average = 197.22ms

C:\PSTools>

===============================================================================================

icmp_azure

Seja Feliz!!!!

Bloqueando sites específicos Fortinet

Vamos bloquear alguns sites específicos manualmente, neste exemplo não iremos utilizar categorização WEB na Fortinet.

Vamos lá, em UTM Security Profiles

image

Web Filter, URL Filter, Creat New

Name: neste exemplo vamos utilizar “RESTRICT”

OK

image

Agora em dentro de “RESTRICT” “Creat New”

URL: Neste exemplo vamos bloquear qualquer coisa .uol.com.br “*.uol.com.br”
Type: Wildcard (Utilizando esta opção, conseguimos bloquear *.domínio
Action: Block
Enable: Deixe habilitado.

OK

image

Agora vamos vincular ao profile em web filter, neste exemplo iremos bloquear para toda empresa *.uol.com.br

Em Web Filter, Profile, Default, Advanced Filter, habilite a opção “Web URL Filter” “RESTRICT”

Apply

image

Agora vamos criar um regra de acesso a internet

Em “Policy”, Police, Creat New

Policy Type: Firewall
Policy Subtype: Address
Incoming Interface: port1 (LAN)
Source Address: all
Outgoing Interface: port3 (WAN2)
Destination Address: all
Schedule: always
Service: ALL
Action: ACCEPT
Enable NAT: Deixe habilitada
Log Allowed Traffic: Deixe habilitada esta opção

Em UTM Security Profiles, habilite “Web Filter”, deixe no modo “ON” selecione o “Default” em profile

OK

image

Regra criada

image

Vamos fazer o teste e verificar se realmente está sendo bloqueado a URL que informamos.

Veja que o acesso a internet está normal

image

Agora vamos acessar o site www.uol.com.br

image

Agora vamos tentar acessar um site dentro do domínio uol.com.br, neste exemplo http://email.uol.com.br

O bloqueio ocorreu com sucesso.

image

Fortinet criando regras de acessos a site interno (NAT)

Vamos criar um regra de NAT para publicarmos um site interno em nosso servidor WEB passando por nosso Firewall (Fortinet), neste exemplo vamos utilizar:

1–> Um servidor Windows Server 2008 R2 com IIS – IP Privado 10.10.10.144

2–> Um Fortinet (Firewall), vamos utilizar duas interfaces uma Privada (LAN) 10.10.10.100 e uma interface Publica (WAN) IP 172.16.0.3

Neste exemplo temos a seguinte configuração de IP público 172.16.0.0/25 ou seja 172.16.0.1 – 172.16.0.126

image

Agora vamos as configurações

Interface LAN do firewall port1

IP 10.10.10.100/24

image

Interface WAN port3

IP 172.16.0.3/27

image

Agora vamos criar os objetos no Firewall

Clique em “Firewall Objects”

image

Depois em “Address” e “Creat New”

image

Name: Vamos usar o nome do servidor, neste exemplo “WIN-O4SBIGBT2RR”
Color: A sua escolha
Type: Subnet
Subnet / IP Range: 10.10.10.144 (IP de nosso servidor)
Interface: Escolha a interface LAN port1
Show in Address List: Vamos deixar habilitado
Clique em OK

image

Agora temos nosso objeto Servidor criado

image

Agora vamos criar para Virtual IP

Em Firewall Objects clique em Virtual IP

image

Clique em “Create New”

image

Name: Vamos colocar um nome amigável, neste exemplo “Port_80_WEB”
External IP Address/Range: vamos colocar um IP válido neste nossa range de IP’s públicos, neste caso 172.16.0.5-172.16.0.5
Mapped IP Address/Range: vamos colocar o IP de nosso servidor WEB 10.10.10.144
Port Forwarding: vamos habilitar
Protocol: Vamos marcar “TCP”
External Service Port: vamos colocar a porta 80, lembrando que essa será a porta externa para comunicação.
Map to Port: vamos colocar 80, lembrando que aqui é a porta interna do servidor

image

Agora em “Firewall Objects” vamos em IP POLL

image

Clique agora em “Creat New”

image

Name: um nome amigável neste exemplo PUBLIC_172_16_0_5
External IP Range/Subnet: 172.16.0.5-172.16.0.5
Type: vamos habilitar “Overload”
ARP Reply: vamos deixar habilitado

image

Agora vamos criar as politicas, clique em “Policy”

image

Clique em “police” – Creat New” (Está será a regra de saída OUT)

Police Type: Firewall
Police Subtype: Address
Incoming interface: port1(LAN)
Source Address: nosso servidor WEB “WIN-04SBIGBT2RR”
Outgoing Interface: port3 (WAN2)
Destination Address: all
Schedule: always
Service: HTTP (liberamos somente esta porta 80, pois neste servidor só roda o IIS), desta forma fica mais seguro
Action: ACCEPT
Enable NAT: habilite esta opção
Use Dynamic IP Pool: está opção tem que ser marcada, aqui vamos colocar o IP público para poder funcionar a regra de NAT neste exemplo como já criamos em IP Pool “PUBLIC_172_16_0_5
Log Allowed Traffic: habilite está opção para podermos monitorar o trafego que passando pelo Firewall.

image

Agora vamos criar a regra de entrada “IN”

Clique em “Policy” – “Create New”

Policy Type: Firewall
Policy Subtype: Address
Incoming Interface: port3 (WAN)
Source Address: “all” aqui decidimos da onde vem o trafego, podemos determinar algumas range’s de IP, mas não é neste caso, deixaremos com “ALL” qualquer lugar
Outgoing Interface: port1(LAN) a porta LAN
Destination Address: vamos colocamos nosso “Virtual IP” que criamos o “Port_80_WEB”, este diz que a porta 80 será direcionada para nosso servidor com IP 10.10.10.144
Schedule: ALL
Service: “HTTP”
Action: ACCEPT
Log Allowed Traffic: vamos deixar habilitado para podermos ver o trafego

Clique em ok.

image

Pronto acabamos de publicar nosso servidor WEB de forma segura.

Acessado pelo servidor em http://localhost

image

Acessado pelo servidor em http://10.10.10.144

image

Agora acessado de forma pública, pelo IP PÚBLICO

image

Criando Pontos de Extremidade Windows Azure (Liberando portas no Firewall)

Vamos criar pontos de extremidades no Windows Azure, na realizadade vamos liberar no firewall do Windows Azure portas de acesso para nossa maquina virtual dentro do Windows Azure.

No Windows Azure cada maquina virtual recebe um IP Privado interno e um IP Público, porém o acesso é através de NAT passando pelo firewall do Windows Azure (Eu particularmente prefiro assim é mais seguro), vejo no desenho abaixo como funciona

image

ao acessar o endereço IP 23.97.99.183 ou o nome de DNS BRSPSRV001.cloudapp.net o firewall faz o NAT na porta 80 (ha que vamos liberar) para a maquina virtual.

Veja na imagem abaixo que nosso servidor WEB já está disponivél

image

Poré quando acessamos pelo IP 23.97.99.183 ou pelo nome DNS BRSPSRV001.cloudapp.net de fora do Windows Azure não conseguimos porque a liberação não foi feita

image

image

Agora vamos fazer a liberação da porta 80

No portal do Windows Azure acessa clique em sua maquina virtual

image

Depois clique em pontos de extremidade

image

Agora clique em adicionar

image

Vamos habilitar “Adicionar um ponto de extremidade autônomo”

image

Em Nome escolha “HTTP”
Protocolo “TCP”
Porta Pública “80”
Porta Privada “80”

Neste exemplo usaremos essas configurações, mas podemos fazer por exemplo o seguinte NAT, porta pública “8080” e privada “80”.

Deixa as demais opções em branco

image

Clique ok

A regra está sendo criada

image

Pronto a regra foi criada, o NAT da porta 80 pública para porta 80 privada está ok.

image

Agora em nosso navegador podemos acessar nosso site normalmente

Por nome de DNS

image

Por IP Público

image

Isso vale para qualquer porta tanto para Windows Server como VM com Linux.

E no Firewall do Windows as portas devem estar liberadas também.