Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 2 subscribers
  • Views 4872 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

disable the firewall completely for testing purpose

hktranstech
Dear ,

need your help as below:

1. we have setup ssl vpn between 2 site, but some problem arise.

2. we want to fully disable the firewall (make sure all traffic in/out are allowed)

is there any a quick option to do point 2? 

many Thx,
Jessie.


This thread was automatically locked due to age.
  • 0
    any > allow > any rule on the top of the list will do this job,
    there is no other way to disable the firewall
  • 0 in reply to FrankBarmentlo
    Hi Frank,

    thanks for advice.
    1 more question, before I set the "allow" "any" rule,
    I noticed that the UTM have many "dropped source hosts" are internal traffic i.e: 192.168.1.106 as attached, what is the reason of this ?

    Thx,
    Jessie.
  • 0
    I need the log to tell the exact reason, I can't tell for sure without.
    could be blocked destinations or ports not allowed in the firewall, being dropped by default rules.
  • 0
    Dear Frank,
    are you meaning below log that I copy from the view log files->firewall section ?
  • 0
    just the few lines with SRC=*internal IP* that you want me or someone else to look at
  • 0
    An Any/Any/Any rule with the stock definitions does not cause the firewall to pass all traffic as if the firewall isn't there.  The "Any" service definition is only TCP and UDP and does not include any other IP protocols.

    What type of site-to-site VPN?

    What version of UTM software/hardware?

    What is the topology?  (UTM routing, bridging, both?)
  • 0 in reply to FrankBarmentlo
    just the few lines with SRC=*internal IP* that you want me or someone else to look at


    Dear Frank,

    pls help to take a look ,
    Many Thx,

    2014:06:06-00:00:22 UTM03 ulogd[7347]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="cc:34:29:91:b4:75" dstmac="0:c:29:96:42:43" srcip="192.168.1.10" dstip="224.0.0.1" proto="2" length="32" tos="0x00" prec="0xc0" ttl="1" 
    2014:06:06-00:02:27 UTM03 ulogd[7347]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="cc:34:29:91:b4:75" dstmac="0:c:29:96:42:43" srcip="192.168.1.10" dstip="224.0.0.1" proto="2" length="32" tos="0x00" prec="0xc0" ttl="1" 
    2014:06:06-00:04:32 UTM03 ulogd[7347]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="cc:34:29:91:b4:75" dstmac="0:c:29:96:42:43" srcip="192.168.1.10" dstip="224.0.0.1" proto="2" length="32" tos="0x00" prec="0xc0" ttl="1" 
    2014:06:06-00:06:37 UTM03 ulogd[7347]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0"
  • 0
    multicast being blocked.. nothing to worry about
    back to the VPN? what kind of VPN? and which version of the UTM do you have?
    can you tell us something about the network and topology?
  • 0 in reply to FrankBarmentlo
    multicast being blocked.. nothing to worry about
    back to the VPN? what kind of VPN? and which version of the UTM do you have?
    can you tell us something about the network and topology?


    Thanks Frank, here is the scenario and problem:

    UTM version is 9.003-16
    scenario:
    VPN1:
    site1 (192.168.81.0/24) is server, site 2 (192.168.11.0/24) is client 

    VPN2:
    site 1 (192.168.81.0/24) is server, site 3 (192.168.1.0/24) is client 

    both VPN using Sophos's default VPN POOL (ssl) is (10.242.2.0/24)
    The 2 VPN was connected successfully by SSL site to site VPN.

    Problem1: 
    I supposed site2 and site3 will use the site1 as DNS server , as I put site1 gateway IP i.e.: 192.168.81.5 in the "DNS Forwarders" tab at site2 & site3, and I also suppose that the external IP of siteB and siteC (from What Is My IP - The IP Address Experts Since 1999) will be external IP of siteA, as I want all outgoing traffic from site B and site C will route "only" by the sslvpn channel.
    However, What Is My IP - The IP Address Experts Since 1999 show Site B and Site C 's external address respectivity .

    PS ( I also set 192.168.81.5 as DNS Server #1 at "advanced tab under Remote Access tab)

    Problem2: 
    I have tried to setup firewall rule at Site1 , so that I would like to allow Site2 can access Site3, (i.e.: ping 192.168.1.106 from 192.168.11.106), but I failed after so many tried, is this possible on my VPN topology ?

    Many Thanks,
    Jessie.
  • 0
    Jessie, this is much easier than you imagine... First, Up2Date to 9.111.

    Change the server definitions for both tunnels to have 'Local networks' include "Internal (Network)" and "Internet" and then load the new client definitions into sites 2 and 3.  Both of your problems should be solved, but you may need to add the site 2 and site 3 networks to 'Allowed networks' in DNS in Site 1 if you haven't done that already.

    Cheers - Bob