Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 1014 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

VLAN Rejected from accessing internal network

Alexoos
Hello All,

We are trying to setup a machine that is accessible through RDP to the world for remote testing purposes. For security reasons we created a seperate VLAN and would like to block access from any traffic from the VLAN to our internal network. I made a packet filter rule  :

Source: Testing VLAN (Network)
Service: Any
Destination: Internal (Network)
Action: Drop


After making this rule I am still able to access our internal . Any suggestions would be GREATLY appreciated.

Thanks in advance
Alex


This thread was automatically locked due to age.
  • 0
    Hi, did you put that rule before any ALLOW rules?

    Also, are you allowing the test network to use the Astaro proxies?

    Barry
  • 0
    Hey, Alex - welcome to Astaro and the User BB!

    You'll learn that Barry understands this stuff and that it's extremely rare that the problem is an error in the Astaro code - extremely rare.

    Barry's referring to the fact that DNATs are first, then proxies, and then, if a packet hasn't been handled already, your explicit packet filter rules and static routes are considered.

    Cheers - Bob
  • 0
    Thank you both for the quick replies.

    BarryG - I only had 2 packet filter rules and the reject rule was at the top. We are only using the web proxy and its not neccessary to use it if it will cause problems but I would prefer to.

    Bob - We do have a HTTP DNAT rule but that is set for our external ip.
  • 0
    Barry saw it...

    You are concerned because the test network can access using the HTTP Proxy; I guess that's the case becauuse the proxy handles HTTP before the packet filter gets a chance to block it.  You likely have the HTTP/S Proxy in "Transparent" mode.  Assuming your primary LAN is 172.20.1.0/24, you can block access to it by adding the following REGEX to 'Always block': ^https?://172\.20\.1\.

    There are ways to get around that, so, if that becomes a problem, click on my name beside my avatar and send me an email, and I'll send you a document "Configure HTTP Proxy for a Network of Guests" that describes an almost-complete isolation if you want to allow the Guest network to use the HTTP/S Proxy.

    Cheers - Bob