आंतरिक संसाधनों तक पहुंच को समस्या समाधान

अवलोकन

नेटवर्क में उत्पादकता और सुरक्षा बनाए रखने के लिए आंतरिक संसाधनों तक निर्बाध पहुंच सुनिश्चित करना महत्वपूर्ण है। हालांकि, विभिन्न कारक पहुंच को बाधित कर सकते हैं, जिससे खराब उपयोगकर्ता अनुभव और बाधित कार्यप्रवाह होता है। यह प्लेबुक Cato Cloud के भीतर WAN पहुंच समस्याओं का समस्या निवारण के लिए एक व्यापक मार्गदर्शिका प्रदान करने का लक्ष्य रखता है।

लक्षण

आंतरिक संसाधनों तक पहुंचने में विफलता कई तरीकों से प्रकट हो सकती है। एक प्रशासक निम्नलिखित लक्षण नोट कर सकता है:

• आंतरिक सर्वर डोमेन नाम को हल नहीं किया जा सकता
• आंतरिक सर्वर तक नहीं पहुंचा जा सकता
• वैन फ़ायरवॉल नियम का असंगति
• SDP क्लाइंट आंतरिक संसाधनों तक नहीं पहुंच सकते
• रिमोट पोर्ट फॉरवर्डिंग (RPF) संसाधन तक नहीं पहुंचा जा सकता
• LAN निगरानी होस्ट उपलब्ध नहीं है

संभावित कारण

• रूटिंग समस्याएं
• डीएनएस अग्रेषण गलत कॉन्फ़िगरेशन
• वैन फ़ायरवॉल गलत कॉन्फ़िगरेशन
• SDP क्लाइंट के नेटवर्क के साथ ओवरलैप
• सुरक्षा हस्तक्षेप
• गंतव्य होस्ट कनेक्टिविटी समस्याएं

प्रारंभिक मूल्यांकन

CMA में संबंधित प्रीसेट का चयन करके वैन फ़ायरवॉल, IPS, और एंटी-मैलवेयर घटनाओं की समीक्षा करें। दिलचस्प ट्रैफ़िक को संकरा करने के लिए फ़िल्टर सेट करें और जांचें कि वैन फ़ायरवॉल या IPS/AM इंजनों द्वारा प्रवाह को अवरुद्ध किया गया था या नहीं। नियम फ़ील्ड संबंधित नियम दिखाएगा जो ट्रैफ़िक के साथ मेल खाता है।

निम्नलिखित प्रारंभिक मूल्यांकन चरणों का पालन करके सुनिश्चित करें कि आप उपयुक्त समस्या निवारण अनुभाग की समीक्षा करते हैं:

• कमांड लाइन से nslookup या dig कमांड चलाकर जांचें कि सर्वर डोमेन नाम को हल किया जा सकता है या नहीं। यदि कोई डीएनएस प्रतिक्रिया प्राप्त नहीं होती है, तो सर्वर डोमेन नाम समाधान समस्या निवारण पर जाएं
• जांचें कि सर्वर IP पता ping कमांड चलाकर पहुंचा जा सकता है या नहीं। इस परीक्षण को करने से पहले सुनिश्चित करें कि वैन फ़ायरवॉल नियम द्वारा ICMP की अनुमति है। यदि कोई पिंग प्रतिक्रिया प्राप्त नहीं होती है, तो अवहनीय आंतरिक सर्वर समस्या निवारण पर जाएं
• यदि IPS या एंटी-मैलवेयर ईवेंट्स दिखाते हैं कि इनमें से कोई भी इंजन आंतरिक सर्वर तक पहुंच को अवरुद्ध कर रहा है, तो IPS/एंटी-मैलवेयर गलत पॉजिटिव को हल करना पर जाएं
• जांचें कि वैन फ़ायरवॉल ईवेंट में मिलान नियम अपेक्षित है या नहीं। यदि नहीं, तो फ़ायरवॉल नियम असंगति समस्या निवारण के साथ जारी रखें
• यदि केवल SDP क्लाइंट प्रभावित हो रहे हैं और साइट्स के पीछे के उपयोगकर्ता नहीं हैं, तो आंतरिक संसाधनों तक SDP क्लाइंट की न पहुंचने वाली समस्याओं का निवारण पर जाएं
• यदि प्रभावित आंतरिक संसाधन रिमोट पोर्ट फॉरवर्डिंग के माध्यम से पहुँचा जा रहा है, तो RPF आंतरिक संसाधनों का निवारण पर जाएं
• यदि प्रभावित सर्वर को लैन निगरानी द्वारा मॉनिटर किया जा रहा है, तो अप्राप्य लैन मॉनिटरिंग होस्ट का निवारण की जाँच करें

समस्या का निवारण

प्रशासक द्वारा अनुभव किए जाने वाले लक्षणों के निवारण के चरण नीचे सूचीबद्ध हैं। इन चरणों का उद्देश्य सामना की गई समस्याओं के संभावित कारणों की पहचान करना है। समाधान के चरण बाद में प्लेबुक में हाइलाइट किए जाएंगे।

लेखा परीक्षा ट्रेल लॉग की जाँच

लेखा परीक्षा ट्रेल में किसी भी संशोधित लॉग की जाँच करें जो आंतरिक संसाधनों तक पहुँच में प्रभाव डाल सकते हैं। इसमें WAN फ़ायरवॉल नियम, एंटी-मैलवेयर/आईपीएस सेटिंग्स, और TLS निरीक्षण शामिल हैं।

सर्वर डोमेन नाम संकल्प की समस्याओं का निवारण

डीएनएस संकल्प की जाँच

अगर आंतरिक संसाधन को उसके डोमेन नाम का उपयोग करके पहुँचना है, तो कमांड लाइन से एनएसलुकअप या डिग कमांड का उपयोग करके यह पुष्टि करें कि आंतरिक सर्वर का डोमेन नाम हल किया जा सकता है।

आपके खाते में आंतरिक DNS संकल्प के दो परिदृश्य हो सकते हैं;

• यदि संगठन में निजी DNS सर्वर IP पता उपयोग किया जाता है, तो पुष्टि करें कि प्रभावित उपयोगकर्ता आंतरिक रूप से DNS सर्वर तक पहुँच सकते हैं। यदि नहीं, तो DNS सर्वर से कनेक्टिविटी को ठीक करें, जैसे कि अप्राप्य आंतरिक सर्वर का निवारण
• यदि खाते में डिफ़ॉल्ट कैटो DNS सर्वर 10.254.254.1, खाता-परिभाषित DNS सर्वर, या प्रसिद्ध सार्वजनिक DNS (8.8.8.8, 1.1.1.1, या 9.9.9.9) का उपयोग किया जाता है, तो अगले चरण में DNS अग्रेषण का निवारण करें।

डीएनएस अग्रेषण का सत्यापन

आंतरिक डोमेन नामों पर निर्भर ट्रैफ़िक प्रवाह (उदा. pc1.domain.net) को CMA में सही ढंग से DNS अग्रेषण से कॉन्फ़िगर किया जाना चाहिए। यह भी महत्वपूर्ण है कि Cato को डोमेन नाम सही ढंग से हल करने के लिए DNS प्रवाह को इंटरसेप्ट करना चाहिए।

डीएनएस अग्रेषण तब ही काम कर सकता है जब DNS क्वेरीज़ विशिष्ट DNS सर्वर तक सबसे हो, जैसा कि DNS अग्रेषण समस्याओं का समाधान में समझाया गया है।

अप्राप्य आंतरिक सर्वर का निवारण

कैटो रूटिंग तालिका की जाँच

रूटिंग तालिका का उपयोग रूट उपलब्धता, मेट्रिक्स आदि को सत्यापित करने के लिए किया जा सकता है;

• खोज स्ट्रिंग में संसाधन IP पते की खोज करें और पुष्टि करें कि सही साइट के माध्यम से एक मौजूदा मेल खाता रूट है।
• यदि कोई रूट नहीं पाया जाता है, तो इसका अर्थ है कि Cato को इस रूट की जानकारी नहीं है, इसलिए यह इस गंतव्य पर नहीं जा सकता। इस समस्या को हल करने के लिए रूटिंग समस्याओं का समाधान देखें
• यदि एक ही गंतव्य के लिए रूट हैं, तो सुनिश्चित करें कि BGP डायनामिक रेंज अन्य स्थिर रूट्स के साथ ओवरलैप नहीं होते। कम मेट्रिक वाले रूट पसंद किए जाते हैं।
  
• BGP विभिन्न साइटों से अतिरिक्त रूट्स का प्रचार भी कर सकता है। वजन, AS लंबाई, या MED सहित कम मेट्रिक वाला रूट पसंद किया जाता है। देखें रूटिंग तालिका फ़ील्ड्स को समझना।
• मेट्रिक समस्याओं का समाधान करने के लिए, देखें रूटिंग समस्याओं का समाधान

IPSec नीति-आधारित रूटिंग की जांच करना

यदि आंतरिक संसाधन IPsec के माध्यम से सुलभ है, तो पुष्टि करें कि सही रेंज साइट की IPSec और नेटवर्क सेक्शन में परिभाषित हैं जैसा कि IPsec समस्या निवारण प्लेबुक में बताया गया है।

यदि नीति-आधारित रूटिंग कॉन्फ़िगर की गई है, तो सभी ट्रैफ़िक चयनकर्ताओं को आंतरिक संसाधनों से कनेक्टिविटी सुनिश्चित करने के लिए Cato और IPsec फ़ायरवॉल/राउटर दोनों पर मेल खाना चाहिए।

आंतरिक संसाधन की सक्रियता की जांच करना

यदि आंतरिक संसाधन सॉकेट या vSocket के पीछे स्थित है, तो साइट परज्ञात होस्ट्सपृष्ठ सेअंतिम होस्ट गतिविधिमान जांचें। देखें साइट के लिए ज्ञात होस्ट दिखाना

वह होस्ट्स जो साइट द्वारा हाल ही में नहीं देखे गए हैं, हो सकता है कि बंद हों या नेटवर्क से जुड़े न हों।

WebUI से पैकेट कैप्चरचलाएं और LAN के भीतर किसी भी संभावित समस्या की पहचान करें।

TLS प्रवाहों की जांच करना

यदि रोचक ट्रैफ़िक TLS है और आपने जाँच की है कि पिछली प्रक्रियाएँ ट्रैफ़िक की अनुमति देती हैं। जाँचें कि क्या ट्रैफ़िक प्रवाह Cato द्वारा TLS निरीक्षण किया जा रहा है। यह FW नियम में पाया जा सकता है जिसकाTLS निरीक्षणफ़ील्ड 1 पर सेट है।

यदि ऐसा है, तो Cato रूट प्रमाणपत्र को स्रोत डिवाइस पर इंस्टॉल किया जाना चाहिए जैसा कि TLS निरीक्षण नीति कॉन्फ़िगर करना में बताया गया है। अन्यथा, किसी भी प्रमाणपत्र त्रुटियों और संभावित संसाधन पहुँच मुद्दों को रोकने के लिए TLS निरीक्षण को बायपास करें।

WAN फ़ायरवॉल नियम असमानता समस्या निवारण

जब एक फ़ायरवॉल नियम कॉन्फ़िगर किया जा रहा है, तो यह संभव हो सकता है कि ट्रैफ़िक को गलत नियम के विरुद्ध आंका जा रहा हो। यह अनुभाग सभी संभावित असमान परिदृश्यों और इस समस्या को कैसे हल किया जाए, इसे कवर करता है।

कस्टम अनुप्रयोग सत्यापन

यदि अपेक्षित ट्रैफ़िक एक कस्टम अनुप्रयोग से मेल खाता है और FW इवेंट में मिलाअनुप्रयोगक्षेत्र उससे मेल नहीं खाता, पुष्टि करें कि कस्टम ऐप सही ढंग से कॉन्फ़िगर किया गया है। ध्यान रखें कि जब ओवरलैपिंग कस्टम ऐप्स मौजूद हों, Catoकेवलट्रैफ़िक की पहचानकस्टम ऐप्स में से एकके रूप में करता है। 

इस समस्या को रोकने के लिए, कृपया ओवरलैपिंग कस्टम एप्लिकेशन का समाधान अनुभाग देखें।

बिल्ट-इन एप्लिकेशन/सेवा का सत्यापन

यदि उम्मीद की जाती है कि रुचिकर ट्रैफ़िक एक बिल्ट-इन एप्लिकेशन या सेवा से मेल खाता है और ट्रैफ़िक गलत फ़ायरवॉल नियम से मेल खा रहा है, तो निम्नलिखित जांचें:

• 'गलत' मेल खा रही फ़ायरवॉल नियम में कौन सी एप्लिकेशन या सेवाएं कॉन्फ़िगर की गई हैं।
• क्या इनमें से कोई भी एप्लिकेशन/सेवाएं FW इवेंट के संबंधित ऐप्स फ़ील्ड में सूचीबद्ध हैं।

ऐप/सेवा पहचान एक बहु-चरणीय प्रक्रिया है जो प्रोटोकॉल की पहचान करने से शुरू होती है और फिर उन सभी संभावित मिलान करने वाली एप्लिकेशन्स को शामिल करती है जो संबंधित ऐप्स फ़ील्ड में शामिल हैं। किसी भी 'संबंधित ऐप' एप्लिकेशन की पहचान एक फ्लो में की जाती है, अंतिम ऐप (एप्लिकेशन फ़ील्ड) निर्णय चाहे जो भी हो, वह फ़ायरवॉल नियम से मेल खाएगा।

नीचे दिए उदाहरण में, SMB ट्रैफ़िक नियम #1 के बजाय नियम #2 से मेल खा रहा है। ऐसा इसलिए है क्योंकि नियम #1 में TCP सेवा शामिल है (जो संबंधित ऐप्स में शामिल है) भले ही अंतिम ऐप (एप्लिकेशन फ़ील्ड) SMB है।

इस अपेक्षित व्यवहार का समाधान करने के लिए फ़ायरवॉल नियम क्रम देखें

कॉन्फ़िगर किए गए डोमेन नाम का सत्यापन

यदि एक फ़ायरवॉल नियम में डोमेन या FQDN वस्तु होती है, तो FW इवेंट में डोमेन नाम फ़ील्ड क्या है यह जांचें। फ़ायरवॉल नियम में डोमेन/FQDN ऑब्जेक्ट इस फ़ील्ड के समान होना चाहिए।

ध्यान दें कि एक FQDN पूर्ण रूप से निर्दिष्ट डोमेन का सटीक मिलान है। उदाहरण के लिए, पूर्ण क्वालिफाइड डोमेन नाम (FQDN) example.com केवल example.com. से मेल खाता है।

दूसरी ओर, एक डोमेन एक शीर्ष-स्तरीय (TLD) या द्वितीय-स्तरीय डोमेन (SLD) है जो सभी सबडोमेन से मेल खाता है। उदाहरण के लिए, डोमेन example.com www.example.com और host.example.com से मेल खाता है।

ऐसे मामले हो सकते हैं जहाँ Cato HTTP, TLS, या DNS फ्लो से सही डोमेन नाम निर्धारित नहीं कर सकता है। इन प्रकार की समस्याओं का समाधान करने के लिए डोमेन नाम बेमेल समस्याएं हल करना देखें

SDP क्लाइंट के आंतरिक संसाधनों तक नहीं पहुँचने की समस्या निवारण

यह अनुभाग उन समस्याओं को संबोधित करता है जो विशेष रूप से SDP क्लाइंट्स के आंतरिक संसाधनों तक नहीं पहुँचने से संबंधित हैं।

उपयोगकर्ता के होम नेटवर्क सबनेट ओवरलैप की जाँच करना

यदि SDP क्लाइंट, जिसमें सर्वर का पिंग शामिल है, आंतरिक संसाधनों से कनेक्ट नहीं कर सकता है, तो जांचें कि उपयोगकर्ता के होम नेटवर्क और जिसमें आंतरिक संसाधन वाली साइट है, के बीच IP पता ओवरलैप है या नहीं। यदि ऐसा है, तो क्लाइंट की रूटिंग तालिका रिमोट Cato साइट के पीछे स्थित आंतरिक सर्वर से कनेक्ट करने का प्रयास करते समय स्थानीय NIC की ओर इशारा करेगी, जिससे कनेक्शन असफल होगा।

192.168.0.0/24, 192.168.1.0/24, या 10.0.0.0/24 की IP रेंज वाले रिमोट साइट्स आसानी से होम वायरलेस राउटर्स की IP रेंज के साथ ओवरलैप कर सकते हैं, जो अक्सर इस IP रेंज को डीफ़ॉल्ट DHCP सेटिंग के रूप में उपयोग करते हैं।

इस समस्या का समाधान करने के लिए, SDP क्लाइंट रिमोट WAN संसाधनों से कनेक्ट नहीं हो सकता है में वर्णित चरणों का पालन करें।

macOS और iOS उपयोगकर्ता आंतरिक डोमेन्स को हल नहीं कर रहे हैं

जैसा कि macOS Ventura और iOS उपयोगकर्ता Cato के माध्यम से आंतरिक संसाधनों तक पहुंचने में असमर्थ में बताया गया है, अगर SDP क्लाइंट अपनी डोमेन नाम का उपयोग करके आंतरिक संसाधनों से कनेक्ट नहीं कर सकता है लेकिन वे इसके IP एड्रेस का उपयोग करके पहुंचने में सक्षम हैं, तो यह संभव है कि DNS अग्रेषण विफल हो रहा है क्योंकि एंडपॉइंट द्वारा DoH (DNS ओवर HTTPS) या DoT (DNS ओवर TLS) का उपयोग किया जा रहा है। Cato वर्तमान में DoH/DoT का समर्थन नहीं करता है।

इस समस्या को हल करने के लिए, देखें DNS अग्रेषण समस्याओं का समाधान। वैकल्पिक रूप से, Cato DNS सर्वर (10.254.254.1) को CMA में केवल एकमात्र DNS सर्वर के रूप में परिभाषित किया जा सकता है।

एंड्रॉयड उपयोगकर्ता आंतरिक डोमेन्स को हल नहीं कर रहे हैं

जैसा कि Android उपकरण Cato के माध्यम से आंतरिक संसाधनों तक पहुंचने में असमर्थ में बताया गया है, अगर SDP क्लाइंट अपनी डोमेन नाम का उपयोग करके आंतरिक संसाधनों से कनेक्ट नहीं कर सकता है लेकिन वे इसके IP एड्रेस का उपयोग करके पहुंचने में सक्षम हैं, तो यह संभव है कि DNS अग्रेषण उपकरण द्वारा उपयोग की गई स्वचालित निजी DNS (डिफ़ॉल्ट व्यवहार) के कारण विफल हो रहा है जो DNS समाधान के लिए DoH/DoT को लागू करता है। यह वर्तमान में Cato द्वारा समर्थित नहीं है।

इस समस्या को हल करने के लिए, देखें DNS अग्रेषण समस्याओं का समाधान। वैकल्पिक रूप से, उपकरण पर निजी DNS को निष्क्रिय किया जा सकता है।

RPF आंतरिक संसाधनों की समस्या निवारण

RPF इवेंट विश्लेषण

CMA में RPF प्रीसेट को चुनकर RPF घटनाओं का रिव्यू करें। पुष्टि करें कि घटना उत्पन्न होती है जो पुष्टि करेगी कि बाहरी Cato IP उपलब्ध है। ध्यान दें कि गंतव्य IP पता RPF नियम में कॉन्फ़िगर की गई बाहरी सार्वजनिक IP है।

जियो ब्लॉक इवेंट विश्लेषण

किसी भी ऐसे इवेंट की समीक्षा करें जो आंतरिक सर्वर के आंतरिक IP पते के लिए निर्धारित हो। पुष्टि करें कि कोई भी जियो ब्लॉकिंग प्रतिबंध आंतरिक सर्वर से कनेक्शन को नहीं रोक रहा है। अगर ऐसा है तो इनबाउंड दिशा के लिए जियो प्रतिबंध नीति को संपादित करें ताकि स्रोत देश की अनुमति दी जा सके।

आंतरिक संसाधन की सक्रियता की जांच करना

साइट पर ज्ञात होस्ट्स पेज से अंतिम ज्ञात गतिविधि मान देखें। साइट के लिए ज्ञात होस्ट्स दिखा रहे हैं देखें

साइट द्वारा हाल ही में नहीं देखे गए होस्ट्स संभवतः बंद हो सकते हैं या नेटवर्क से कनेक्ट नहीं हो सकते हैं।

WebUI से एक पैकेट कैप्चर चलाएं और LAN के भीतर किसी भी संभावित समस्या की पहचान करें।

अप्राप्य LAN निगरानी होस्ट की समस्या निवारण

कनेक्टिविटी घटना विश्लेषण

CMA में LAN होस्ट्स अनुपलब्ध प्रीसेट का चयन करके कनेक्टिविटी घटनाओं की समीक्षा करें। जब परिभाषित LAN होस्ट अब पहुँच योग्य नहीं होगा तब होस्ट अनुपलब्ध घटनाएँ उत्पन्न हो जाएंगी।

स्थानीय होस्ट की उपलब्धता की जांच करना

पुष्टि करें कि परिभाषित स्थानीय होस्ट से सॉकेट वेब यूआई से पिंग किया जा सकता है। यदि पिंग सफल है, तो निम्नलिखित की जाँच करें:

• लैन निगरानी प्रोब्स 10.254.254.1 से सोर्स किए गए ICMP पैकेट्स होते हैं, इसलिए यह सुनिश्चित करना महत्वपूर्ण है कि निगरानी किए गए होस्ट के पास सॉकेट लैन गेटवे पर वापस जाने का मार्ग हो सके ताकि वह जवाब दे सके।
• यदि डिवाइस एक स्थानीय फ़ायरवॉल चला रहा है, तो 10.254.254.1 आईपी पता से ICMP की अनुमति होनी चाहिए।

वेबयूआई से एक पैकेट कैप्चर चलाएं और लैन के भीतर किसी भी संभावित समस्याओं को पहचानें।

खोजी गई समस्याओं का समाधान

रूटिंग समस्याओं का समाधान

यदि आंतरिक संसाधन के लिए मार्ग को रूटिंग तालिका में नहीं पाया जाता है, तो निम्नलिखित की जाँच और समाधान करें:

• यदि साइट के लिए BGP कॉन्फ़िगर किया गया है, तो जांचें कि मार्गों का पड़ोसी द्वारा प्रचार किया जा रहा है। BGP स्थिति दिखाएं देखें। यह BGP प्रीफिक्स की समीक्षा करना महत्वपूर्ण है कि स्थानीय राउटर विज्ञापन करता है और पुष्टि करें कि Cato उन्हें प्राप्त कर रहा है।
• यदि BGP सत्र डाउन है, तो डिस्कनेक्ट समस्या को हल करें। BGP सेशन डिस्कनेक्टेड है देखें
• यह सुनिश्चित करें कि रेंज होस्टिंग साइट उपलब्ध है। साइट कनेक्टिविटी का समस्या निवारण देखें

यदि रूटिंग तालिका में देखी गई मार्ग मेट्रिक गलत रूटिंग निर्णय का कारण बन रही है, तो निम्नलिखित की जाँच और समाधान करें:

• टनल मेट्रिक मान आमतौर पर Cato द्वारा सेट किया जाता है। रेडंडेंट मार्गों में समान टनल मेट्रिक होना चाहिए यदि वे समान प्रकार की साइट से उत्पन्न होते हैं, जैसे कि आईपीसेक या सॉकेट साइट।
• वजन मान CMA में विन्यासित किया जा सकता है, नेटवर्क > साइट > साइट कॉन्फ़िगरेशन > BGP। इस पृष्ठ पर विन्यासित मेट्रिक मान रूटिंग तालिका में वजन के रूप में देखा जाएगा। साइट के लिए मेट्रिक बदलना रेडंडेंट मार्गों के लिए गलत रूटिंग निर्णयों को सुधार देगा।
• AS लंबाई और मेट्रिक भेदभावपूर्ण मान बाहरी राउटर से प्राप्त होते हैं। यदि आवश्यक हो, तो उन्हें इस उपकरण पर संशोधित किया जाना चाहिए।

गलत सकारात्मक IPS/एंटी-मैलवेयर अवरोधों का समाधान

यदि IPS/AM द्वारा दिलचस्प ट्रैफ़िक अवरुद्ध है, तो आप IPS और एंटीमैलवेयर सेटिंग्स में WAN स्कोप के साथ अनुमति सूचियाँ जोड़ सकते हैं।

ओवरलैपिंग कस्टम एप्लिकेशन का समाधान

यह सुनिश्चित करें कि कस्टम एप्लिकेशन में सही आईपी पते, डोमेन, पोर्ट और प्रोटोकॉल शामिल हैं। इसमें कोई तर्क नहीं है कि पहचान के लिए कौन सा कस्टम ऐप चुना गया है, इसलिए ओवरलैपिंग से बचने के लिए कस्टम ऐप को अद्वितीय रूप से परिभाषित करना चाहिए। अधिक जानकारी के लिए, कस्टम एप्लिकेशन के साथ काम करना देखें

फ़ायरवॉल नियम क्रम

ध्यान रखें कि फ़ायरवॉल नियम को उनके क्रम के अनुसार मूल्यांकन किया जाता है, इसलिए अधिक सामान्य नियमों के ऊपर अधिक विशिष्ट नियमों को परिभाषित करना महत्वपूर्ण है। उदाहरण के लिए, जो फ़ायरवॉल नियम एक कस्टम एप्लिकेशन, बिल्ट-इन एप्लिकेशन, डोमेन, पूर्ण डोमेन नाम (FQDN), या कस्टम सेवा को परिभाषित करते हैं, उन्हें फ़ायरवॉल नियमों से ऊपर रखा जाना चाहिए जिनमें श्रेणियाँ, कस्टम श्रेणियाँ, या सेवाएँ शामिल हैं।

नीचे के स्क्रीनशॉट में, नियम #1 में एक कस्टम सेवा शामिल है जिसमें twitter.com के लिए आईपी रेंज शामिल हैं और यह नियम #2 के ऊपर रखा गया है जिसमें एप्लिकेशन श्रेणियाँ शामिल हैं। नियम #1 नियम #2 की तुलना में अधिक विशिष्ट है और twitter.com के लिए जाने वाले ट्रैफ़िक के लिए बेहतर मेल होगा। यह अतिरिक्त रूप से टीसीपी त्वरण को निष्क्रिय कर देगा और किसी भी ऑफ-क्लाउड या ऑप्शन-वैन रूटिंग मुद्दों को सुलझाएगा क्योंकि नियम #1 एक सरल नियम है।

डोमेन नाम मिसमैचिंग समस्याओं का समाधान

डोमेन/पूर्ण डोमेन नाम (FQDN) के आधार पर फ़ायरवॉल नियम मिलान समस्याओं को इस प्रकार हल किया जा सकता है:

• जैसे प्रोटोकॉल्स के लिए HTTP/S, Cato गंतव्य डोमेन को निम्नलिखित स्रोतों से निर्धारित कर सकता है:

  • हाइपरटेक्स्ट ट्रांसफर प्रोटोकॉल होस्ट का नाम हेडर (जब TLS निरीक्षण सक्रिय है)

  • SNI फ़ील्ड्स TLS हैंडशेक के दौरान

  • DNS समाधान, जहाँ डोमेन नाम DNS क्वेरी और प्रतिक्रिया से सीखा जाता है

• यह सुनिश्चित करना महत्वपूर्ण है कि फ़ायरवॉल नियम में निर्दिष्ट डोमेन इन सभी स्रोतों में संगत है। नोट करें कि केवल सबसे अच्छे मेल वाले डोमेन नाम (शीर्ष से नीचे तक मूल्यांकित) को फ़ायरवॉल घटनाओं में डोमेन नाम के रूप में प्रदर्शित किया जाता है। 

• अन्य प्रोटोकॉल्स के लिए, जैसे SSH या SMB, जो डोमेन को साधारण टेक्स्ट में नहीं भेजते, ट्रैफ़िक को किसी डोमेन या पूर्ण डोमेन नाम (FQDN) के साथ जोड़ने के लिए Cato विशेष रूप से DNS इंटरसेप्शन पर निर्भर करता है। यह विशेष रूप से महत्वपूर्ण है जब एक निजी DNS का उपयोग करते हैं क्योंकि हमें यह सुनिश्चित करना है कि DNS प्रश्न/जवाब Cato के माध्यम से जाते हैं। देखें DNS और आपके Cato खाते के लिए सर्वोत्तम प्रथाएं
• डोमेन नाम/एप्लिकेशन मिलान के लिए DoH (HTTPS पर DNS) और DNS पर TLS समर्थित नहीं हैं, इसलिए, उन्हें फायरवॉल नियमों में अवरोधित करना होगा ताकि DNS प्रश्नों को UDP/53 में स्थानांतरित किया जा सके।

DNS अग्रेषण समस्याओं का समाधान

आप केवल तभी DNS अग्रेषण का उपयोग कर सकते हैं जब DNS प्रश्न निम्नलिखित DNS सर्वरों के उद्देश्य से हो:

• Cato का डिफ़ॉल्ट DNS सर्वर 10.254.254.1
• नेटवर्क > DNS सेटिंग्स के तहत कॉन्फ़िगर किए गए खाता स्तर के DNS सर्वर
• जानें जाने वाले DNS सर्वर जैसे कि 8.8.8.8, 1.1.1.1, और 9.9.9.9। जानें जाने वाले DNS सर्वरों की सूची PoPs के बीच भिन्न हो सकती है। उदाहरण के लिए, चीन और सिडनी।

DNS अग्रेषण के लिए DoH (HTTPS पर DNS) और DNS पर TLS समर्थित नहीं हैं, इसलिए, उन्हें फायरवॉल नियमों में अवरोधित करना होगा ताकि DNS प्रश्नों को UDP/53 में स्थानांतरित किया जा सके। यह समाधान विशेष रूप से macOS, iOS और एंड्रॉयड SDP क्लाइंट्स के लिए लागू होता है।

Cato समर्थन के लिए मामले उठाना

उपरोक्त समस्या निवारण चरणों के परिणामों के साथ एक समर्थन टिकट जमा करें। कृपया टिकट में निम्नलिखित जानकारी शामिल करें:

• अनुभव की गई समस्या और उपयोगकर्ताओं पर समग्र प्रभाव का विवरण।
• संबंधित फ़ायरवॉल घटनाएं और फ़ायरवॉल नियम कॉन्फ़िगरेशन।
• समस्या को पुनः उत्पादन करें और स्वयं सेवा समर्थन चलाएँ। ऑडियो आउटपुट जनरेट किया गया टिकट संख्या शामिल करें।
• यदि प्रभावित उपयोगकर्ता SDP क्लाइंट का उपयोग करके काटो से जुड़ता है, तो कृपया SDP क्लाइंट का उपयोग करके समस्या को रिकॉर्ड करें