Problema con tráfico ssl y regla

[guybrush]

Buenas tardes

En primer lugar un saludo a todos, y gracias por adelantado por vuestra ayuda.

Tenemos montados dos Fortigate 620B en HA con el firm 3.00.
Hoy hemos creado una regla para una aplicación específica de un proveedor, que transmite tráfico ssl mediante el puerto 444. (no el 443 como cabe esperar)

Resulta que tras autorizar a una máquina del usuario para utilizar ese puerto de salida, el tráfico me aparece como denegado en los logs del Fortigate. En cambio, una regla mas arriba, tengo una regla de administrador con tráfico permitido completo. Desde un equipo de la red de administrador, conecto perfectamente.

He monitorizado la conexión y no utiliza ningún puerto intermedio para la negociación.

Este es el log de denegación.

Oct 8 13:32:37 date=2009-10-08 time=13: 35:15 devname=FG600B33333333 device_id=FG600B3333333333 log_id=0022013001 type=traffic subtype=violation pri=warning vd=root SN=1411818 duration=0 user=N/A group=N/A rule=45 policyid=45 proto=6 service=444/tcp app_type=N/A status=deny src=172.30.2.109 srcname=172.30.2.109 dst=XX.XX.XX.XX dstname=XX.XX.XX.XX src_int="port8" dst_int="port5" sent=0 rcvd=0 src_port=3080 dst_port=444 vpn="N/A" tran_ip=0.0.0.0 tran_port=0

Es como si ignorase la regla que autoriza la conexión, porque la regla que deniega el tráfico es el deny all del final de la lista.

Puede ser el IPS que esté detectando tráfico ssl por un puerto no habitual?

Gracias a todos de antemano.

[gabyrossi]

hola, como estas?, ahi aparece que la policy que deniega el port 444 es la policy 45.
Si la policy 45 es la del final que deniega todo, por algun motivo no entra en la politica que deberia acceder.

motivos por lo que podrian pasar esto:

-la ip de prueba no es la 172.30.2.109
-la plitica donde esta habilitado el 444 no esta nateada.


saludos
Gabriel

[guybrush]

Acabo de comprobarlo, y la conexión se realiza desde la IP correcta, y la regla está nateada :S

Un saludo!

[gabyrossi]

holas, podrias mostrar las politicas ???

saludos