ipsecpol.exe - или лыжи не едут или одно из двух ?

From

Dmitry Provodnikov (2:5000/97.31)

To

All (2:5054/37.63)

Date

2005-04-03T13:39:40Z

Area

RU.WINDOWS.NT.ADMIN

* Originally in RU.WINDOWS.2000.ADMIN
* Crossposted in NSK.WINDOWS
* Crossposted in RU.WINDOWS.2000
* Crossposted in RU.WINDOWS.NT.ADMIN
Hello All!

задача - с помошью ipsecpol.exe на всех w2k в локальной политике запретить
исходящий трафик с любых адресов на любые адреса кроме
приватных (rfc1918) на порты 80/tcp, 53/tcp, 53/udp.

казалось бы, какие проблемы (кроме того что больше одной
политики активировать невозможно).

рисуем скрипт для ipsecpol.exe -file ...

# -------------------

-w REG -p MyPol -y
-w REG -p MyPol -o

-w REG -f *:*=*:80:TCP -n BLOCK -p MyPol -r all-http-block
-w REG -f *:*=*:53:TCP -n BLOCK -p MyPol -r all-dns-tcp-block
-w REG -f *:*=*:53:UDP -n BLOCK -p MyPol -r all-dns-udp-block

-w REG -f *:*=10.0.0.0/255.0.0.0:80:TCP -n PASS -p MyPol -r 10-http-pass
-w REG -f *:*=10.0.0.0/255.0.0.0:53:TCP -n PASS -p MyPol -r 10-dnst-pass
-w REG -f *:*=10.0.0.0/255.0.0.0:53:UDP -n PASS -p MyPol -r 10-dnsu-pass

-w REG -f *:*=127.0.0.0/255.0.0.0:80:TCP -n PASS -p MyPol -r 127-http-pass
-w REG -f *:*=127.0.0.0/255.0.0.0:53:TCP -n PASS -p MyPol -r 127-dnst-pass
-w REG -f *:*=127.0.0.0/255.0.0.0:53:UDP -n PASS -p MyPol -r 127-dnsu-pass

-w REG -f *:*=172.16.0.0/255.240.0.0:80:TCP -n PASS -p MyPol -r 172-http-pass
-w REG -f *:*=172.16.0.0/255.240.0.0:53:TCP -n PASS -p MyPol -r 172-dnst-pass
-w REG -f *:*=172.16.0.0/255.240.0.0:53:UDP -n PASS -p MyPol -r 172-dnsu-pass

-w REG -f *:*=192.168.0.0/255.255.0.0:80:TCP -n PASS -p MyPol -r 192-http-pass
-w REG -f *:*=192.168.0.0/255.255.0.0:53:TCP -n PASS -p MyPol -r 192-dnst-pass
-w REG -f *:*=192.168.0.0/255.255.0.0:53:UDP -n PASS -p MyPol -r 192-dnsu-pass

-w REG -p MyPol -x

# -------------------

загоняю его и тут начинаются чудеса:

1) telnet 192.192.192.192 80 - облом, как и надо.
telnet 10.1.2.3 80 - работает.

2) nslookup 10.1.2.1 10.1.2.1 - работает,
nslookup 192.192.192.192 192.192.192.192 - на гейте радостно
видим дропнуте пакеты на 192.192.192.192:53/udp.
это как понимать ??? в список defaultexempt оно не входит.

3) пробуем редактировать через GUI - gpedit.msc
когда пытаемся сохранить адрес и нетмаску в фильтрах на
172.16/12 и 192.168/26 (для гарантии стерев и дописав последний 0) -
ошибка "это неверная нетмаска для данного адреса".
немного экспериментов - и становится ясно, что программеры некрософта
до сих пор серьезно относятся к "классам" IP адресов. удоды !

4) возможно п.2. просачивается из-за этого ?
ладно наплевать - размножаем один фильтр на 255 по /24.
при применении _такие_ тормоза ... я не дождался.

5) вопрос на засыпку - кто _точно_ знает в каком порядке
применяются фильтры ? или такой же бардак как в ISA ?

6) как врубить подробное протоколирование прохождения
пакетов через фильтры ipsec ?

WBR, Dmitry // [Team-TBH-TNG].
--- ===
 * Origin: Crime wouldn't pay if the government run it (2:5000/97.31)
SEEN-BY: 46/50 50/520 400/814 450/159 186 247 1024 454/9 461/43 132 640 465/11
SEEN-BY: 469/999 4616/3 4627/10 4635/4 5000/26 61 72 76 97 111 5000 5001/90
SEEN-BY: 5001/5001 5003/57 5006/1 5007/1 5010/70 87 5015/10 5019/31 5020/52
SEEN-BY: 5020/118 154 175 194 400 545 639 715 758 830 1057 1604 1909 1922 2013
SEEN-BY: 5020/2020 2238 2590 4441 5021/29 5022/128 5025/3 750 5026/10 14
SEEN-BY: 5027/16 5030/49 115 473 966 1339 1900 5031/47 70 5035/38 5036/1
SEEN-BY: 5042/13 5047/43 5049/97 5051/15 5054/1 4 5 8 9 37 45 63 67 81 84
SEEN-BY: 5055/95 5057/1 5061/15 5066/18 5067/2 5069/7 5070/1222 5074/9 5077/80
SEEN-BY: 5080/80 1003 5081/2 5082/6 5083/21 5085/13 5090/106 5095/20 5096/18
SEEN-BY: 5099/4 11 133 6000/12 254 6001/3 6035/9 6070/228

PATH: 5000/97 76 5020/400 4441 545 5054/1 37