Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 2372 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

New install of UTM 9 - Unable to get traffic inside --> outside

howiecamp
I've just completed a fresh install of UTM 9.  I followed the wizard during the install and specified the IP address configuration of both the internal and external interfaces.  I enabled ICMP response on both interfaces.

I am able to ping the internal interface from the inside network and the external interface from the Internet side.  I am also able to ping hosts on both the internal network and the Internet from the appliance itself when I'm SSH'd in.

With the exception of the ICMP changes I made, the appliance has whatever set of firewall/traffic rules are default.

I am *not* however able to ping Internet hosts from the inside network through the UTM or access any other ports eg. http/80.  The firewall rules I am looking at do not appear to be blocking this.  The host I am originating the traffic from of course has the UTM set as it's default gateway.


This thread was automatically locked due to age.
  • 0
    Check 'Network Protection >> NAT' to be sure you have a Masquerading rule like 'Internal (Network) -> External'.  Check the 'ICMP' tab in 'Firewall' to confirm that 'Firewall forwards pings' is selected.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Bob - I just created the rule that is circled in red.  The only one that previously existed was the uncircled one.



    On the firewall ICMP side I've got:



    Interesting when I look at the live firewall logs I don't see references to any of the destination IP addresses I am pinging.  I mostly see DNS drops, which says to me that icmp (or any other port I try for that matter) is being dropped right at the interface?
  • 0
    Update: It appears that the firewall log is *only* showing drops, and most of those drops are DNS.  As I stated before, I am not seeing it drop my attempts at http/80 for example to a given site.  I am going to see how I can change the log settings to show successes.
  • 0
    Hi, your Masquerading is setup incorrectly.

    1. delete the first entry completely

    2. change the 2nd entry:
    Source: INTERNAL NETWORK

    Barry
  • 0
    BarryG I did as you said - here's my result:



    Same result unfortunately.  Also curious, shouldn't "any" have worked as a source, since "any" is a superset of "insidenetwork"?

    Finally, I find it odd that the firewall would have as a default an external --> internal NAT rule but not the other way around?  And shouldn't that rule you had me delete not have impact this?
  • 0
    BarryG - I figured it out.  I noticed that the only default firewall rules were:



    so I added a rule for insidenetwork --> any for http and it worked.

    (I was surprised to see the outside --> any for web surfing rule as a default.  But maybe I don't really understand what it's doing.)

    By the way per your suggestion I changed "Any" to "insidenetwork" in the nat rule at the same time and things worked, but as a test I put it back to "any" because I felt any should work - it's a superset of "inside", and it did.  But I ultimately changed it back to insidenetwork again as I want to be as explicit as possible.
  • 0
    Hi, I don't know what went wrong during the setup wizard, but you should delete those 2 firewall rules for Outside Network also.

    Barry
  • 0
    hi Barry will do.  I think I know what went wrong during setup.  There was some confusion and screwing around with which physical interface corresponded to inside and outside, and some configuration changes were incorrectly made.  I am going to do a fresh install with these learnings.

    Thank you.
Cookie Information Banner