Guest User!

You are not Sophos Staff.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Firewall Regel greift mal und dann wieder nicht

Guten Morgen zusammen,

ich habe bei einer Firewall Regel ein recht kurioses Phänomen. Wie auf dem Screenshot zu sehen habe ich meine Regel Nr. 33 gesetzt "PublicSRV -> DCSRV - Service LDAP TCP & UDP allow"

Ganz willkürlich greift die Regel und dann wieder nicht.  Hat einer von Euch eine Idee dazu?

Danke und Grüße Marco



This thread was automatically locked due to age.
Parents
  • Hi, besten Dank für den Hinweis.

    Die MAC "6E" ist das outside Interface der UTM also im Netz 83.X.X.X direkt am Public-SRV - Hier greift die Regel allow von outside nach 172.x.x.x

    Die Mac "5a" ist das Inside Interface der UTM im Netz 172.x.x.x am DC hier kommt der Deny ins Spiel.

     

    Anbei nochmal ein Screenshot, ich hab gerade keine Idee dazu...

    Grüße Marco

  • Hallo,

     

    E0 wird nicht angesprochen. Kennt auch die Source nicht. 

    5A sollte die Source auch nicht kennen, tut Sie aber. 

     

    Kann man bitte auf dem Sender die ARP Tables überprüfen? 

    Das Konstrukt hier zeigt auf, dass der SRC Server scheinbar unterschiedliche Pakete schickt oder jemand dazwischen. 

    ETH6 ist WAN oder DMZ? Ist der SRC Server direkt attached oder übers WAN erreichbar? 

    __________________________________________________________________________________________________________________

  • Unknown said:
    ETH6 ist WAN oder DMZ?

    WAN an einem dedizierten Switch, VMNIC7, ETH6 der UTM und ISP Router stecken direkt auf diesem Switch.
    Der Public-SRV hat auch nur diese eine NIC

    Unknown said:
    Kann man bitte auf dem Sender die ARP Tables überprüfen? 

    Routen tut das die UTM zwischen "ETH6 Public" und "ETH0 Inside"

    (Ich hab dass so nicht gebaut da distanziere ich mich vehement von, das ist ein gewachsenes Konstrukt welches ich erbte :-/ )

    Grüße

  • Noch zur Ergänzung: In meiner Freihandzeichnung hatte ich beim Public-SRV die IP Endung.5 hingemalt das ist die 35 und ETH6 der UTM die .33

  • Hi,

    bist Du dir sicher mit den MAC Adressen der UTM?
    Ich bin mir nicht sicher ob als DSTMAC die Adresse des eingehenden Interface steht. Wenn die Firewall die Pakete schon verarbeitet hat, müsste nach meinem Verständnis die DSTMAC die des nächsten Inferface, hier also ETH0 sein, oder?

    Kannst Du mal die relevanten Einträge aus dem Firewall Log posten?

    Gruß

    Jas

  • Jas Man said:
    bist Du dir sicher mit den MAC Adressen der UTM?

    Ja bin ich, anbei nochmal Screenshots der UTM Interfaces inkl. Hardware Eigenschaft und ein IPCONFIG /ALL Auszug der SRC & DST Devices.

    Das Firewall Log ist das vom ersten Beitrag oder meintest du noch ein anderes Log?

    Jas Man said:
    Ich bin mir nicht sicher ob als DSTMAC die Adresse des eingehenden Interface steht. Wenn die Firewall die Pakete schon verarbeitet hat, müsste nach meinem Verständnis die DSTMAC die des nächsten Inferface, hier also ETH0 sein, oder?

    Exakt so habe ich das auch in Erinnerung und gerade da macht es mich ja so stutzig :-/

    Grüße

  • Hallo,

     

    bitte auf der Shell einmal einen tcpdump auf das eine und das andere Interface durchführen. 

    Irgendwie habe ich das Gefühl, dass die Pakete falsch ankommen. Dann besteht ein Routing Problem vom Switch davor. 

     

    tcpdump -ni ethX host IP1 and host IP2 

    Das ggf. parallel ausführen. 

    __________________________________________________________________________________________________________________

Reply
  • Hallo,

     

    bitte auf der Shell einmal einen tcpdump auf das eine und das andere Interface durchführen. 

    Irgendwie habe ich das Gefühl, dass die Pakete falsch ankommen. Dann besteht ein Routing Problem vom Switch davor. 

     

    tcpdump -ni ethX host IP1 and host IP2 

    Das ggf. parallel ausführen. 

    __________________________________________________________________________________________________________________

Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?