Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 26 replies
  • Subscribers 2 subscribers
  • Views 12778 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DMZ Hosts can connect to the internal hosts?

jimmyone
Hi all,

how can it be that my DMZ hosts can connect to the Internal Network?

There is no NAT Rule defined for that.
When i try a ping or a telnet to a machine in the internal Network, its successful.

Whats the problem here?
I have looked into the NAT and Packetfilter Rules, there is no visible problem.

Do you have any ideas?

Thenak...

Greetz
Tom


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to jimmyone
    deny rule should be the first rule 

    Source: DMZ (Network)
    Dest: Internal (Network)
    Service:All
    Action: Drop 

    Enable the log and to verify it works try to telnet to various ports for the dmz to the internal network
  • 0 in reply to wingman
    Like Wingman says, put it first.  Every set of rules I can think of in the Astaro is processed sequentially.  Once one of the rules is satisfied, the rest are skipped.

    Another "trick" is that routes and rules in proxies and VPNs are evaluated before explicit ones you create.  One of the implications of this is that allowing the DMZ to use the HTTP Proxy means that it can reach your internal network with any allowed service; someone who gains control of a computer in your DMZ has free access to websites in your internal network.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi,

    many thanks to you and sorry...
    You're correct there is no connection possible.

    When i try a telnet from the DMZ Client to any internal Host, there is a Connection abort.

    But i can ping to all internal hosts...
    In my Packetfilter i have all ICMP Forwards and so on unactivated.

    The HTTP Proxy is in use...

    Many Greetings
    Tom
  • 0 in reply to jimmyone
    Tom, what masquerading rules do you have?

    What have you entered in Allowed networks' on the 'Global' tab of 'Web Security >> HTTP/S'?  If your DMZ is allowed, you will want to add blocks on the 'Content Filter' tab for your internal network.  For example, if 'Internal (Network)' is 10.10.10.0/24, add a block for //10.10.10.

    Cheers - Bob
  • 0 in reply to BAlfson
    Tom, what masquerading rules do you have?

    What have you entered in Allowed networks' on the 'Global' tab of 'Web Security >> HTTP/S'?  If your DMZ is allowed, you will want to add blocks on the 'Content Filter' tab for your internal network.  For example, if 'Internal (Network)' is 10.10.10.0/24, add a block for //10.10.10.

    Cheers - Bob


    Bob

    I am able to ping the internal zone and I do have pf rule denying traffic from dmz to internal, I don't have Allow ICMP on/through firewall and I have //192.168.2 under the url blocked as you said. What am I missing?
  • 0 in reply to wingman
    I don't know enough about TCP/IP to understand if the issue with ping is a bug or a feature of ICMP.

    Do you have a packet filter rule like: 'DMZ (Network) -> Any -> Any : Allow' because you want to allow access to the internet?  Unfortunately, that also allows unproxied traffic to your internal network.  If that's the case, create a new Network Definition named "Internet" with 0.0.0.0/0 and bind it to the External interface.  Now, replace the rule with 'DMZ (Network) -> Any -> Internet : Allow', and you can get rid of your 'DMZ (Network) -> Any -> Internal (Network) : Deny' rule.  That will probably leave you still able to ping... let us know!

    Cheers - Bob
  • 0 in reply to BAlfson
    I don't know enough about TCP/IP to understand if the issue with ping is a bug or a feature of ICMP.

    Do you have a packet filter rule like: 'DMZ (Network) -> Any -> Any : Allow' because you want to allow access to the internet?  Unfortunately, that also allows unproxied traffic to your internal network.  If that's the case, create a new Network Definition named "Internet" with 0.0.0.0/0 and bind it to the External interface.  Now, replace the rule with 'DMZ (Network) -> Any -> Internet : Allow', and you can get rid of your 'DMZ (Network) -> Any -> Internal (Network) : Deny' rule.  That will probably leave you still able to ping... let us know!

    Cheers - Bob


    just tried removing the dmz ->any->private lan-->deny and add dmz->any-> internet (0.0.0.0/0) but still ping works from DMZ to private lan
  • 0 in reply to wingman
    I meant to eliminate 'DMZ (Network) -> Any -> Any : Allow'
  • 0 in reply to BAlfson
    I am still facing the same issue. what's strange though is that despite the top deny rule that  drops all traffic from dmz to internal network, i can still telnet to port 80 (from DMZ to internal network)

    I think that exactly the situation you have described on your earlier post. Is there a way to fix that?

    PS I've followed the instructions  with no luck
  • 0 in reply to wingman
    Do you have the HTTP Proxy in transparent mode?  That might account for that behavior with telnet on port 80 if you don't have blocks set in Anti-Spam.

    I'm curious, did the "Internet" definition trick stop the pings to the internal network from the DMZ?

    Cheers - Bob