Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 26 replies
  • Subscribers 2 subscribers
  • Views 12778 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DMZ Hosts can connect to the internal hosts?

jimmyone
Hi all,

how can it be that my DMZ hosts can connect to the Internal Network?

There is no NAT Rule defined for that.
When i try a ping or a telnet to a machine in the internal Network, its successful.

Whats the problem here?
I have looked into the NAT and Packetfilter Rules, there is no visible problem.

Do you have any ideas?

Thenak...

Greetz
Tom


This thread was automatically locked due to age.
Parents
  • 0
    on the top of the pf there should be a deny from the dmz to the internal host
  • 0 in reply to wingman
    When i create a deny Rule:

    Source: DMZ (Network)
    Dest: Internal (Network)
    Action: Drop

    there is no function... I can reach the interal hosts... ??
  • 0 in reply to BAlfson
    Interesting.  Maybe you could try adding a logged packet filter rule at the top: 'DMZ -> HTTP -> Internal (Network) : Allow' and see if the port 80 traffic is being accepted before the PF rules.  If the traffic doesn't show up in the PF log, then that would be proof that it's being captured by the proxy as I suspect.  I would guess than any service can be used by telnet if it's in 'Allowed target services' on the 'Advanced' tab of 'Web Security >> HTTP/S Proxy'.

    I'm not sure why the block is allowing the traffic.  What happens in the Content Filter (HTTP) log?

    Cheers - Bob


    JUst to add to my previous port. I am also able to telnet to port 8080 and 3128 (I have a pf rule that allows Private_Lan -->web surfing-->any allow). WEb surfing ports are : 8080,3128,443 (port 80 is only set to http proxy)

    Haven't tried out your suggested action yet Bob.I am planning to do it during the weekend
  • 0 in reply to wingman
    I just setup a DMZ for a ShoreTel VPN Concentrator yesterday, and I'm having the exact same issue where it seems that the device on the DMZ can contact hosts on the LAN, even though I have setup the first Packet Filter rule to drop all traffic from the DMZ to the Internal network.

    I have tried it both with and without HTTP security/proxying turned on, and traffic still seems to be allowed, despite the rule.

    Conversely, I have tried setting up a rule to block traffic FROM the Internal LAN to the DMZ, and that works fine.

    Anyone have a solution yet?

    Thanks!
  • 0 in reply to jtarnoff
    I am currently trying different configurations to solve that issue. I will post when I find a solution

    Even though I don't have any rule that allows web traffic from DMZ to private lan it still goes through. I don;t have DMZ on the allowes hosts of HTTP/S

    it's strange :s
  • 0 in reply to wingman
    Jtarnoff, did you put the blocking rule at the top of your list of packet filter rules?  Remember that, like most everything in the Astaro, PF rules are processed sequentially, and the rest are skipped when the traffic pattern is matched.

    One thing is certain, and that is that this is not an Astaro bug; this must be an unintended consequence of some conguration item.

    If you have a logged block or alllow rule at the top and see no application of the rule in the PF log, then you have proof that the traffic is being allowed by automatic packet filter rules in a proxy or NAT.  If it does appear in the log, then you know that one of the following PF rules is allowing the traffic.

    Cheers - Bob
  • 0 in reply to BAlfson
    I have the blocking (traffic from DMZ to Internal Zone is rejected not Dropped) rule on the top to block all traffic from DMZ to private Lan. All  traffic is blocked (tried telnet via random ports). However telnet on port 80 is still allowed but traffic is not logged on the pf. 

    Telneting on port 8080,3128 is blocked by the pf but telnet works :s 

    21:18:04	Packetfilter rule #1	TCP	

    172.16.1.2	:	49767


    192.168.2.31	:	3128

    [SYN]	len=52	ttl=127	tos=0x00	srcmac=00:b0:c2:02:e4:4f	dstmac=00:1f[:D]0:0a:9a:89

    21:18:07	Packetfilter rule #1	TCP	

    172.16.1.2	:	49767


    192.168.2.31	:	3128

    [SYN]	len=52	ttl=127	tos=0x00	srcmac=00:b0:c2:02:e4:4f	dstmac=00:1f[:D]0:0a:9a:89

    21:18:13	Packetfilter rule #1	TCP	

    172.16.1.2	:	49767


    192.168.2.31	:	3128

    [SYN]	len=48	ttl=127	tos=0x00	srcmac=00:b0:c2:02:e4:4f	dstmac=00:



    The only possible solution for this traffic to be allowed is via HTTP proxy (However I believe there is an issue since  port 8080 and 3128 are still allowed despite the fact that pf blocks them!!)

    On the HTTP proxy I have blocked URL : \192.168.2.31 (the destination for the telnet test) but the traffic still is permit.


    Can someone confirm in which way does Astaro checks the traffic? (ie first HTTP Proxy then pf etc)
  • 0 in reply to wingman
    NATS and proxies get the traffic first.

    If you have the HTTP Proxy enabled in trasparent mode, and you allow the DNZ to use the proxy, then you give access from the DMZ to 'Internal (Network)' via port 80.

    I'm pretty certain of that.

    Cheers - Bob
  • 0 in reply to BAlfson
    That make sense and that'y I've blocked on the HTTPS DMZ proxy filter the \192.168.2.31 which is the specific hosts but the traffic still goes through.
    I can try to change the DMZ proxy profile to Standard if that will make a change
  • 0 in reply to wingman
    I guess that would just change from 80 to 8080, but I haven't tried it, so if you do try it, please post your results here.

    Have you tried putting \198.162.2 into 'Always block'?
  • 0 in reply to BAlfson
    Bob, is there a way to have the proxy not listen at all on the DMZ interface?

    Barry
  • 0 in reply to BarryG
    I think it listens to everything.
Reply Children
No Data