Questo argomento contiene 3 risposte, ha 2 partecipanti, ed è stato aggiornato da  Nic D’Ercole 2 anni, 1 mese fa.

Stai vedendo 4 articoli - dal 1 a 4 (di 4 totali)
  • Autore
    Articoli
  • #221

    sicurezza@merqurio.it
    Partecipante

    Questo problema è una causa bloccante per il nostro ambiente di produzione.

    Abbiamo una VM Endian Firewall Community su un host vSphere ESXi 5.5.
    Il server ha 4 connessioni wan red e 2 locali green and blue. La VM ha 3GB RAM 8vcpu, 7 schede di rete vmxnet3 ed è ospitata su datastore da >150MB/sec.

    Ogni volta dopo aver applicato o modificato una regola outbound firewall, passati da 2 a 4 minuti, la risoluzione DNS comincia a fallire per circa 2-4 minuti, quindi semplicemente “ritorna”. Non abbiamo nessuna route specifica, né traffic shaping, né dns proxy né nessuna regola di firewall specifica per il traffico DNS, solo la regola outbound SRC green+blue DST red DPT 53TCP+UDP action ALLOW. Abbiamo diversi server DNS specificati per uplink, e tutti falliscono la risoluzione del nome quando il problema si verifica. Con il disservizio in corso, tutto il resto del nostro networking continua a funzionare normalmente, le sessioni attive come ad esempio ssh non cadono, ogni risorsa che adopera una risoluzione del nome in cache oppure che ha cominciato la connessione prima che il problema si verificasse continua a funzionare normalmente al livello applicazione, ma se si cerca di accedere ad una risorsa il cui nome non è ancora stato risolto si riceve un “dns request timed out”, e così anche forzando la risoluzione del nome con clients come dig o nslookup.

    #222

    sicurezza@merqurio.it
    Partecipante

    Aggiungo che la versione Endian è 3.05

    #223

    sicurezza@merqurio.it
    Partecipante

    Dopo aver effettuato ulteriori test, abbiamo tratto le seguenti conclusioni:

    Avevamo le regole ICMP e DSN oltre la 40esima posizione in ordine di priorità
    Il problema si verificava quando effettuavamo dei cambiamenti e li applicavamo.
    Le regole che si trovavano nelle ultime posizioni venivano eseguite dopo oltre 5 minuti, questo provocava l’impossibilità di connettersi ad internet per gli operatori.
    Abbiamo spostato queste regole in cima

    Inoltre abbiamo anche verificato che le regole complesse di firewall in uscita come:

    SRC (20 local ips list)
    DST (15 public subnets list)
    SERVICE TCP
    DST PORTS (10 ports list)

    1)Impiegano molto tempo a riavviarsi
    2) Sono applicate parzialmente o comunque impiegano molto tempo ad essere applicate quando si riferiscono a lunghe liste di IP interni verso lunghe liste di IP remoti
    3)Quando le regole diventano molto complesse non funzionano correttamente

    Visto che utilizziamo una versione Community è possibile che non sia abbastanza performante per utilizzare molte regole e regole complesse ?

    #224

    Nic D’Ercole
    Amministratore del forum

    Ciao,

    per molto tempo cosa intendi? Spesso capita anche a me, in condizioni di regole abbastanza complesse e numerose, il problema da te citato. Il firewall riprende a funzionare perfettamente solo dopo alcuni minuti (3/4 minuti). Altre volte sono costretto ad un riavvio per il normale funzionamento.

    Avendo a che fare con prodotti Endian non community questi problemi non li ho riscontrati.

    Una cosa che devo dirti però è che tante installazioni fatte su macchine virtuali ESXi con il tempo le ho tolte, riscontrando sempre più problemi rispetto a macchine fisiche dedicate, sopratutto con VPN e Proxy eccessivamente lenti.

    Ciao
    Nicola

Stai vedendo 4 articoli - dal 1 a 4 (di 4 totali)

Devi essere loggato per rispondere a questa discussione.