以前の記事の補足で VRRP の通信のためのファイアーウォールルールについてです。 デフォルトでは FireWall-1 そのものに関連する通信は暗黙で許可されるようになっているので、ファイアーウォールを動作させるためのルール (例えば SmartCenter との通信のためのルール) を書く必要はありません。 しかし、VRRP に関しては明示的に通信を許可する必要があるので注意が必要です。
必要なルールは「Nokia Network Voyager for IPSO x.x Reference Guide」 の VRRP 関連の部分に載っています。 IPSO 4.2 の場合は以下の様になっています。
Configuration Rule for Check Point NGX FP1
| Source | Destination | Service | Action |
|---|---|---|---|
| cluster-all-ips mcast-224.0.0.18 |
fwcluster-object | vrrp igmp |
Accept |
Where:
- cluster-all-ips is the Workstation object you created with all IPs.
- fwcluster-object is the Gateway Cluster object.
- mcast-224.0.0.18 is a Workstation object with the IP address 224.0.0.18 and of the type host.
Configuration Rules for Check Point NGX FP2 and Later
| Source | Destination | Service | Action |
|---|---|---|---|
| Firewalls fwcluster-object |
mcast-224.0.0.18 | vrrp igmp |
Accept |
Where:
- Firewalls is a Simple Group object containing the firewall objects.
- fwcluster-object is the Gateway Cluster object.
- mcast-224.0.0.18 is a Node Host object with the IP address 224.0.0.18.
このように FireWall-1/VPN-1 のバージョンによってビミョーに書いてあることが異なっているのでお手許の Voyager Reference Guide を参照することをお勧めします。
… とここまで書いて SmartDashboard R60 の "Global Properties" の "Implied Rules" の設定画面に VRRP の項目が追加されているのを見つけました。 ちょっと試せていないですが、これがチェックされていれば済む話じゃなかろうか…