Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 3 subscribers
  • Views 9567 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

ping: sendmsg: Operation not permitted

orhan
ive added a packetfilter rule like from client dmz to server internal network any service allow

but i cannot ping any computers in the internal network from the dmz and vice versa. i dont know what im doing wrong  


This thread was automatically locked due to age.
Parents
  • 0
    Hi !
    Just a stupid question - did you enable ICMP forwarding under "Packet Filter / ICMP" ? - If not - that's the problem !
    regards,
       Erich   [;)]  
  • 0 in reply to ehudler
    icmp forwarding enabled

    all ping settings are enabled

    via astaro ssh i can ping both networks but when i ping from a computer in the dmz the internal network i get opertion not permitted.   
  • 0 in reply to uncue75
    That Any Any Any Allow just made me spit-take my coffee!
    Hell, why are you using a firewall?

    Kidding aside:
    Why don't we start by simplyfing your rules (forgive me if you already tried this) to just:

         LAN Any DMZ Allow
         DMZ Any LAN Allow

    (let's focus on getting that working;
    the WAN can come later)

    For your two masq rules, what interface did you specify?

       
  • 0 in reply to SecApp
    first rule is internal any any allow
    then dmz any any allow

    i also tried with internal any dmz allow
    dmz any internal allow

    no success.

    btw my internal network is masqed to the external
      
  • 0 in reply to orhan
    from my internal network i can access the astaro dmz webadmin interface. everything works just fine. the only thing is that im not able to ping any device in the dmz and vice versa. 

    astaro internal 200.0.1.1
    astaro dmz 192.168.2.1
    astaro external ppoe



      
  • 0 in reply to orhan
    i think i got it. the rules what i had, are correct. the only thing what i was forgotten to change was on the pc side. the gateway. i had to give the dmz interface as gw for the pc in the dmz. now its working.  
  • 0 in reply to orhan
    That's a classic problem; should have thought to ask it...
      
  • 0 in reply to SecApp
    [ QUOTE ]
    That Any Any Any Allow just made me spit-take my coffee!
    Hell, why are you using a firewall?

    Kidding aside:
    Why don't we start by simplyfing your rules (forgive me if you already tried this) to just:

         LAN Any DMZ Allow
         DMZ Any LAN Allow

    (let's focus on getting that working;
    the WAN can come later)

    For your two masq rules, what interface did you specify?

        

    [/ QUOTE ]

    It's a lab at the present, so it's not that big of a deal.  the any any any aloow was frustration at 2 in the morning trying to get it working.  your comment even got me laughing.  

    OK.  I deleted my current rules and hten added the ones you suggested.  I couldn't get out to the internet so I had to add another one.  my rules currently look like this:

    1 LAN_Network__ Any DMZ_Network__ Allow  
    2  DMZ_Network__ Any LAN_Network__ Allow  
    3  LAN_Network__ Any Any Allow  

    As for what interface did I select for my masq rules, I selected the WAN Interface.  I know this is the correct one because I can surf through the ASL box.  I don't have squid turned on.


    That's the only thing that I have changed, but I still can't get from my LAN network to the DMZ network.  The tracert is the same as above.  It only gets the DMZ interface on the ASL box. 

    I did notice this today.  My interface list looks like this:

     eth0   LinksysNetwork Everywhere Fast Ethernet 10/100 model NC100 
    base=ff000800   irq=10   mac=00:04:5A:8E:6F:F1   type=eth   io=c800      0d.0   
      eth1   LinksysNetwork Everywhere Fast Ethernet 10/100 model NC100 
    base=ff000400   irq=9   mac=00:04:5A:8E:6F[[:D]]7   type=eth   io=c400      0e.0   
      eth2   3Com Corporation3c905B 100BaseTX [Cyclone] 
    irq=11   mac=00:C0:4F:29:B5:5F   type=eth          
      eth3   3Com Corporation3c905B 100BaseTX [Cyclone] 
    irq=11   mac=00:01:03[[:D]]E:A4:7E   type=eth    


    notice that eth2 and eth3 are using the same irq.  aslo they dont' have a pci device id like eth0 and eth1 do.  I though there might be a problem with the computer.  I have an identical box with the same network cards except eth3 is different in the other computer.  when I installed asl on it eth2 and eth3 are the same on that box as well with no pci device id.

    my License says it's only for 3 network interfaces.  Could this be my DMZ problem?  notice that the DMZ is on eth2.

    The reason that I have a fourth interface is because I want to have a seperate Wireless DMZ.

    help.  I'm running out of ideas.


    thanks!


      
  • 0 in reply to uncue75
    To rule that out, simply call Boston and get a temporary eval license that will support three NICs. Simply enter it on the GUI...
      
  • 0 in reply to SecApp
    ok here is what I did.  I backed up my config.  pulled out one the NICs.  Reinstalled and restored.  Everything tested ok.  

    I even did an external port scan from the outside with shields up and all the appropriate ports are open.

    Thanks for all the recommendations on what to try next.

    I applied for a power home user license by faxing the application to germany earlier this week.  how long does it normally take to get it?


    thanks again!       
  • 0 in reply to uncue75
    A while; you really have to prove you've earned that.
    As long as you've been a good boy,
    it should be much quicker to get a temporary eval...

    Psychologically prepare yourself that the license is not the problem...
      
  • 0 in reply to SecApp
    I take it the problem is all the work involved in supporting other users here? 
Reply Children