Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 3 subscribers
  • Views 9567 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ping: sendmsg: Operation not permitted

orhan
ive added a packetfilter rule like from client dmz to server internal network any service allow

but i cannot ping any computers in the internal network from the dmz and vice versa. i dont know what im doing wrong  


This thread was automatically locked due to age.
Parents
  • 0
    Hi !
    Just a stupid question - did you enable ICMP forwarding under "Packet Filter / ICMP" ? - If not - that's the problem !
    regards,
       Erich   [;)]  
  • 0 in reply to ehudler
    icmp forwarding enabled

    all ping settings are enabled

    via astaro ssh i can ping both networks but when i ping from a computer in the dmz the internal network i get opertion not permitted.   
  • 0 in reply to orhan
    time for a traceroute from the DMZ...
      
  • 0 in reply to orhan
    Hello orhan!
    Some more questions:
    Besides your filter-rule "DMZ --> internal-net  any service allow", did you put "internal-net --> DMZ any service allow" also ? - or is there any filter-rule above your "permit any any" which drops your pings ? - Filters are applied according there order !!!
    regards,
             Erich   
  • 0 in reply to SecApp
    I'm having a very similar problem.  I can't get from my local network to my DMZ.  I also can't go from the DMZ to the LAN.  I can ping the LAN interface on the ASL box from the LAN network.  I can also ping the DMZ interface from the DMZ netowrk.  I can't ping through the ASL box either way from the LAN to the DMZ or from the DMZ to the LAN.  

    When I do I traceroute from the LAN to the DMZ it looks like this:

    C:\>tracert 192.168.10.2

    Tracing route to 192.168.10.2 over a maximum of 30 hops

      1    All / All   MASQ__WAN   None   
    LAN to WAN Masq   LAN_Network__ -> All / All   MASQ__WAN   None   

    WAN to Mail Server IMAP   Any -> WAN_Interface__ / IMAP   None   Private_Mail_Server   
    WAN to Mail Server POP3   Any -> WAN_Interface__ / POP3   None   Private_Mail_Server   
    WAN to Mail Server SMTP   Any -> WAN_Interface__ / SMTP   None   Private_Mail_Server   
    WAN to Webserver HTTP   Any -> WAN_Interface__ / HTTP   None   Private_Webserver  
    WAN to Webserver HTTPS   Any -> WAN_Interface__ / HTTPS   None   Private_Webserver 

    The Definitions looks like this:

    Private_Mail_Server 192.168.10.2 255.255.255.255   
    Private_Webserver 192.168.10.2 255.255.255.255   
      
    DMZ_Network__ 192.168.10.0 255.255.255.0   


    LAN_Network__ 192.168.5.0 255.255.255.0   
      
    WAN_Network__ 66.57.x.x 255.255.248.0   



    My Filter rules look like this:

    1 LAN_Network__    Any  Any  Allow  
    2  Any     Any  DMZ_Network__   Allow 
    3  Any     Any  Any  Allow


    The route table:

    192.168.5.0/24 dev eth0  scope link 
    192.168.10.0/24 dev eth1  scope link 
    66.57.x.x/21 dev eth2  scope link 
    127.0.0.0/8 dev lo  scope link 
    default via 66.57.x.x dev eth2 


    Everything under Packet Filter > ICMP is enabled.

    Also, all interfaces are up.

    Please help me figure out what I am doing wrong.


    Thanks!


        
  • 0 in reply to uncue75
    That Any Any Any Allow just made me spit-take my coffee!
    Hell, why are you using a firewall?

    Kidding aside:
    Why don't we start by simplyfing your rules (forgive me if you already tried this) to just:

         LAN Any DMZ Allow
         DMZ Any LAN Allow

    (let's focus on getting that working;
    the WAN can come later)

    For your two masq rules, what interface did you specify?

       
  • 0 in reply to SecApp
    first rule is internal any any allow
    then dmz any any allow

    i also tried with internal any dmz allow
    dmz any internal allow

    no success.

    btw my internal network is masqed to the external
      
  • 0 in reply to orhan
    from my internal network i can access the astaro dmz webadmin interface. everything works just fine. the only thing is that im not able to ping any device in the dmz and vice versa. 

    astaro internal 200.0.1.1
    astaro dmz 192.168.2.1
    astaro external ppoe



      
  • 0 in reply to orhan
    i think i got it. the rules what i had, are correct. the only thing what i was forgotten to change was on the pc side. the gateway. i had to give the dmz interface as gw for the pc in the dmz. now its working.  
  • 0 in reply to orhan
    That's a classic problem; should have thought to ask it...
      
  • 0 in reply to SecApp
    [ QUOTE ]
    That Any Any Any Allow just made me spit-take my coffee!
    Hell, why are you using a firewall?

    Kidding aside:
    Why don't we start by simplyfing your rules (forgive me if you already tried this) to just:

         LAN Any DMZ Allow
         DMZ Any LAN Allow

    (let's focus on getting that working;
    the WAN can come later)

    For your two masq rules, what interface did you specify?

        

    [/ QUOTE ]

    It's a lab at the present, so it's not that big of a deal.  the any any any aloow was frustration at 2 in the morning trying to get it working.  your comment even got me laughing.  

    OK.  I deleted my current rules and hten added the ones you suggested.  I couldn't get out to the internet so I had to add another one.  my rules currently look like this:

    1 LAN_Network__ Any DMZ_Network__ Allow  
    2  DMZ_Network__ Any LAN_Network__ Allow  
    3  LAN_Network__ Any Any Allow  

    As for what interface did I select for my masq rules, I selected the WAN Interface.  I know this is the correct one because I can surf through the ASL box.  I don't have squid turned on.


    That's the only thing that I have changed, but I still can't get from my LAN network to the DMZ network.  The tracert is the same as above.  It only gets the DMZ interface on the ASL box. 

    I did notice this today.  My interface list looks like this:

     eth0   LinksysNetwork Everywhere Fast Ethernet 10/100 model NC100 
    base=ff000800   irq=10   mac=00:04:5A:8E:6F:F1   type=eth   io=c800      0d.0   
      eth1   LinksysNetwork Everywhere Fast Ethernet 10/100 model NC100 
    base=ff000400   irq=9   mac=00:04:5A:8E:6F[[:D]]7   type=eth   io=c400      0e.0   
      eth2   3Com Corporation3c905B 100BaseTX [Cyclone] 
    irq=11   mac=00:C0:4F:29:B5:5F   type=eth          
      eth3   3Com Corporation3c905B 100BaseTX [Cyclone] 
    irq=11   mac=00:01:03[[:D]]E:A4:7E   type=eth    


    notice that eth2 and eth3 are using the same irq.  aslo they dont' have a pci device id like eth0 and eth1 do.  I though there might be a problem with the computer.  I have an identical box with the same network cards except eth3 is different in the other computer.  when I installed asl on it eth2 and eth3 are the same on that box as well with no pci device id.

    my License says it's only for 3 network interfaces.  Could this be my DMZ problem?  notice that the DMZ is on eth2.

    The reason that I have a fourth interface is because I want to have a seperate Wireless DMZ.

    help.  I'm running out of ideas.


    thanks!


      
  • 0 in reply to uncue75
    To rule that out, simply call Boston and get a temporary eval license that will support three NICs. Simply enter it on the GUI...
      
Reply Children