Ten krótki post zostawiam dla pań i panów pracujących w IT, którzy w FG mają problemy z przepuszczeniem ruchu dla wysyłek JPK. Takie coś się wysyła w urzędach gminy i miast (nie wiem jak jest w starostwach powiatowych) i robi to ta aplikacja. Ostatnio siedziałem nad tym problemem z jednym z moich klientów i rozwiązanie jest następujące – na początku należy sobie zadać pytania:
- Z jakich komputerów owe JPK jest wysyłane?
- Czy te komputery mają zmienny adres IP?
- Czy jednym z komputerów do JPK jest laptop? Jeśli tak, używa karty bezprzewodowej w sieci urzędu?
Po ustaleniu tego musimy zrobić politykę, w której przepuszczamy ruch dla konkretnych adresów bez dokładnego filtrowania aplikacji. Dlatego musimy mieć zawsze te same adresy hostów, które te JPK wysyłają. Jeśli mamy do czynienia z laptopem to musimy zrobić w DHCP rezerwację zarówno dla karty przewodowej jak i bezprzewodowej. Na początku warto zacząć od dodania wspomnianych rezerwacji, zrobimy to w ustawieniach interfejsu lokalnego, w IP Address Assignment Rules (możemy wpisać adresy ręcznie lub dodać je z listy adresów, które dostały swoją dzierżawę w DHCP automatycznie):
Potem warto w Device Inventory zapisać urządzenia do listy adresów – można to zrobić ręcznie, ale jeśli na interfejsach mamy włączoną opcję Device Detection to tutaj samo się znajdzie, o tak:
Tutaj tak samo – można takie adresy sobie zdefiniować ręczne w Addresses, klikając w Create New > Address, poniżej przykład definicji takiego komputera. Warto dodać, że tutaj zdefiniowałem adres z końcówką /32 – to oznacza wskazanie na konkretny adres hosta, poza tym określiłem tutaj w Interface interfejs, do którego urządzenie jest podłączone. To oznacza, że ten adres można wykorzystać tylko w politykach dotyczących tego właśnie interfejsu.
Po tym warto stworzyć sobie grupę użytkowników, którzy łączą się do serwerów na wysyłkę JPK. Na na wdrożeniu nazwałem Nadawcy JPK. Wtedy to jest jaśniejsze w konfiguracji. Do tej grupy dodajemy wszystkie komputery, które mają JPK wysyłać.
Takie dodanie obiektów wygląda tak:
Mając to, robimy w taki sam grupę adresów, ale tym razem dla adresów serwerów i one powinny wyglądać tak:
Musimy zrobić takie 4 obiekty z różnymi FQDNami:
e-dokumenty.mf.gov.plmf.gov.plblob.am5prdstr10a.store.core.windows.netblob.am3prdstr10a.store.core.windows.net
Potem trzeba (nie trzeba, ale warto) zrobić grupę, którą można nazwać np. Serwery JPK i dodać te adresy do grupy. Na końcu trzeba stworzyć politykę, która z interfejsu lokalnego do interfejsu WAN przepuszcza ruch z grupy Nadawcy JPK do grupy Serwery JPK. Jeśli chodzi o porty – puściłem tutaj dowolne porty, bo nie byłem w stanie znaleźć portów, które są wykorzystywane w snifferze. Wydaje mi się, że to były porty HTTP+S, ale gdy stworzyłem taką politykę z tymi portami to nie byłem w stanie wysłać JPK.
Na samym końcu taką politykę powinniśmy mieć zdefiniowaną nad ogólnymi politykami dla użytkowników, na przykład w ten sposób:
I gotowe.