Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 4 replies
  • Subscribers 0 subscribers
  • Views 671 views
  • Users 0 members are here
Options
Suggested

Weird Problem

Simon Lange
Hi, i have an extreme problem with 3.0.40 right now, but the funny point is that this problem did also accur with the last stable evaluation version.

But here the story...

I have 4 NICs in the firewall.

eth0 192.168.1.0/255.255.255.0 (192.168.1.254)
eth1 62.206.33.192/255.255.255.240 (62.206.33.193)
eth2 62.206.33.208/255.255.255.240 (62.206.33.222)
eth3 192.168.2.0/255.255.255.0 (192.168.2.254)

eth0 is my Ethernet-Intranet
eth1 is my DMZ
eth2 is my MilitaryZone (hop to the Router)
eth3 is my 802.11b-Intranet

Default-Gateway is 62.206.33.221 (the router)

i have setup following rules:
eth1 -> ANY -> ANY  ALLOW
ANY  -> ANY -> eth1 ALLOW
eth0 -> ANY -> ANY  ALLOW
ANY  -> ANY -> eth0 ALLOW
eth3 -> ANY -> ANY  ALLOW
ANY  -> ANY -> eth3 ALLOW

MASQ Rules:
eth0 -> ANY  with eth1-interface
eth2 -> ANY  with eth1-interface


PROBLEM:
if i try to ping or reach in any way a host in the internet from the DMZ, i cannot reach it.
if i try to ping or reach in any way a host IN the DMZ from the internet, i cannot reach it.
the firewall does reach any host ins the internet.
the firewall does reach any DMZ host.
the firewall does any known interface-host...  [;)] 

question:
WHAT is the problem?
ipv4 ip forwarding is set to 1 on firewall (proc)
all interfaces are correct patched.
the defaultgateway is up and reachable.

i guess it has sumthin to do with the rules. I m afraid that the required rules are not conform with human logic, so im at the end now.

Any ideas?!

I want to have DMZ  INTERNET communication and i want to MASQ eth0 and eth2 to the DMZ the routers and the internet ....

HEEEEEEEEEEEEEEEEEEEEELP  [;)] 

thnx in advance

Simon
Parents
  • 0
    Looks like you have your DMZ in the same address space as your internet link. Shouldn't the DMZ be in a private address space?

    What about connectivity? Make sure the DMZ, WAN and Intranet NIC's are connected to different hub/switches otherwise they will flood each other off the network.

    Just a start.
  • 0 in reply to Biffa
    Hi Simon

    Try and set 

    MASQ Rules:
    eth0 -> HTTP  with eth1-interface
    eth2 -> HTTP  with eth1-interface

    and try to reach it over HTTP protocol, if this works, it was the same problem we had. Unfortunately noboday wrote anythin to our posting   [:(]  

    regards, mcpool
  • 0 in reply to McPool
    I'm confused why you did this

    MASQ
    eth2 -> with eth1-interface

    This means your translating your internet link into your DMZ and thus cutting off your connection to the internet. All traffic trying to get to the internet will be MASQ'ed into the DMZ, then DMZ traffic will try to go out eth2 and supposedly go to the internet, but head back into DMZ and create a loop. Sorry if my thinking is wrong here.

    Also there is no MASQ for your 802.11 network so its traffic will never go anywhere.

    I'm not sure why you need to MASQ your internal networks to the DMZ and not just MASQ it to the internet link(eth2). 

    I would try something more like this
    Rules aside...just make rules to allow anything.
    MASQs should look something like this
    eth0 -> ANY with eth2-interface
    eth3 -> ANY with eth2-interface


    Josh

    [ 16 April 2002: Message edited by: PJPorch ]

  • 0 in reply to PJPorch
    Thanx for your help, but here sum comments:

    @biffa, nope if you calculate you see that these are two /27 networks (2 x 16IPs). the mask is 255.255.255.240 which makes 16 ips if they were in the same adressroom the mask had to be 255.255.255.224.

    the connectivity has been validated several times and runs properly.
    as i write before: firewall reaches all hosts on eth0 eth1 and eth2(the internet), but a host from eth1 cannot reach a host on the eth2 interface, dont know why...  [;)] 

    @mcpool
    thnx, but this would be no good idea if i would masq my router. the only interfaces which have to masq are eth0 and eth3 (thos are internal networks)  [;)] 

    @PJPorch
    do you mean me or mcpool. whatever - i have not masqed eth2 with eth1. this wouldnt work  [;)] 
    actually i did the very same configuration lately as yuo described.  [;)] 

    but here comes the victory: i have solved the problem.  [;)]  it wasnt the firewall at all. my router did use an old configuration (dont ask me why, guess i have to kick sum ass tomorrow on tech-meeting).
    Whatever - this old configuration has used the mask 255.255.255.224 for the militaryZone which confused my firewall because the firewall did know the right mask and did know that the network has been split in 2 equal sizes.

    so all i had to do was setting the routers interface mask to 255.255.255.240 again and added a static route for the DMZ with gateway of the firewall. thats is!  [:)] 

    neverthe less - meanwhile i have figured out sum minor bugs on astaro:
    -changing masq rules requires reboot
    -its not possible to detach an interface configuration (e.g. if i wanna drop the WLAN network from definitions/interfaces).
    -root cannot login via ssh anymore (wrong ssh version)
    -also its dangerous to use ssh1, why the dont use openssh2? ssh1 is potential dangerous caused by the light encrypted key!

    does sumone know if there is a possibility to split the accounting in customer ip which had caused the traffic?! 
    example: eth3 interface (wlan) has multiple clients. at the end of the month i want to see what IP has caused what amount of traffic on this particular interface... ideas?

    thanx Simon
Reply
  • 0 in reply to PJPorch
    Thanx for your help, but here sum comments:

    @biffa, nope if you calculate you see that these are two /27 networks (2 x 16IPs). the mask is 255.255.255.240 which makes 16 ips if they were in the same adressroom the mask had to be 255.255.255.224.

    the connectivity has been validated several times and runs properly.
    as i write before: firewall reaches all hosts on eth0 eth1 and eth2(the internet), but a host from eth1 cannot reach a host on the eth2 interface, dont know why...  [;)] 

    @mcpool
    thnx, but this would be no good idea if i would masq my router. the only interfaces which have to masq are eth0 and eth3 (thos are internal networks)  [;)] 

    @PJPorch
    do you mean me or mcpool. whatever - i have not masqed eth2 with eth1. this wouldnt work  [;)] 
    actually i did the very same configuration lately as yuo described.  [;)] 

    but here comes the victory: i have solved the problem.  [;)]  it wasnt the firewall at all. my router did use an old configuration (dont ask me why, guess i have to kick sum ass tomorrow on tech-meeting).
    Whatever - this old configuration has used the mask 255.255.255.224 for the militaryZone which confused my firewall because the firewall did know the right mask and did know that the network has been split in 2 equal sizes.

    so all i had to do was setting the routers interface mask to 255.255.255.240 again and added a static route for the DMZ with gateway of the firewall. thats is!  [:)] 

    neverthe less - meanwhile i have figured out sum minor bugs on astaro:
    -changing masq rules requires reboot
    -its not possible to detach an interface configuration (e.g. if i wanna drop the WLAN network from definitions/interfaces).
    -root cannot login via ssh anymore (wrong ssh version)
    -also its dangerous to use ssh1, why the dont use openssh2? ssh1 is potential dangerous caused by the light encrypted key!

    does sumone know if there is a possibility to split the accounting in customer ip which had caused the traffic?! 
    example: eth3 interface (wlan) has multiple clients. at the end of the month i want to see what IP has caused what amount of traffic on this particular interface... ideas?

    thanx Simon
Children
No Data
Unfiltered HTML