Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 5815 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Ethernet Bridge and VPN Passthrough.

SeanG
Hi All,

Been hacking away at my nice UTM 9 box, and found that when I create a bridge on 5 Eth ports on my appliance I have to create a firewall rule "Internal" --> Any --> "Internal" to pass any traffic.

Would this assume then that LAN traffic is then passed through the firewall? I was really hoping to avoid this!

My interfaces all all bridged to br0 with the original internal interface configured during the initial setup set as the covert interface. Is this where I might be going wrong, or is there a way to configure a vlan and add the interfaces into that instead? (Cisco method) The bridge to me is more like how watchguard turn their optional ports into a LAN but with no firewall involved.

Also is VPN pass through possible on this software? I have a Vodafone suresignal that doesn't want to work, That could be down to a number of factors at the moment, but it seems to establish a tunnel to Vodafone, but my phone wont register. works fine on the netgear prosafe i have.

Also I have an IPSEC site to site tunnel running as well back to my office for an IP handset


This thread was automatically locked due to age.
  • 0
    Hi, Sean,

    Traffic through a bridge does go through the firewall.  What reason do you have for bridging all of the NICs?

    Our normal rules here include "one topic per thread" and each thread should be posted in the appropriate forum.  I answered your networking question, so that's why I've moved this thread to this forum.  You might want to start separate threads for your other questions.

    Cheers - Bob
  • 0
    Ah - I thought it might get pruned - sorry about that... I fixed the second part to my question, and the suresignal is now working.

    So - I wanted to bridge the networks to "emulate" a LAN on the back of my appliance. I want to offer this out as a simple appliance for SOHO and small businesses, care homes etc. The bridging of the network ports will offer five LAN interfaces and one WAN. I was curious why I would need a firewall rule to allow traffic to pass between the ports if they were bridged?
  • 0
    No problem - newbies can't be expected to know our habits [;)] - and everyone is glad to have another participant with a great background!

    Firewalling with a bridge - The basic idea is that anything that goes through the device must be subject to firewall rules, and the default is that nothing gets through.

    One of my customers set up his church with a UTM 120.  I recommended that he maintain one pure-Ethernet NIC.  He link-aggregated (no bridge) three 1Gb NICs, defined VLANs for internal and external interfaces and connected all three NICs to a VLAN-capable switch.  The 24-port HP 9450A is under US$300.

    Cheers - Bob
  • 0 in reply to BAlfson
    Indeed, a switch makes sense. Im trying to reduce the amount of hardware in a small wall mount cabinet (Home Network Cabinet)

    My appliance just fits in.

    There is room for a network switch if needed. 

    The idea is - currently in the UK there is a debate between opt in and opt out of **** on the internet. I dont want to see my internet filtered for me, and ISPs do a poor job as it is. So I want to offer customers a way of cleaning the internet for their office and home users on a budget and also protect vulnerable people using the internet from accidentally stumbling across the nasties we find on it without being told from the state what we can and cant do.
  • 0
    How was the suresignal problem solved please? Causing me a headache - thanks a million
  • 0
    Hi Tom,

    If you don't get an answer here, please post a new thread with information about the device and your configuration.

    Barry
  • 0
    To add to what Bob said with regards to firewalls and bridges.

    I find this diagram extremely useful as a goto resource for understanding the firewall, NAT rules, QoS, and how to tell what component comes first in the order of precedence: http://i.stack.imgur.com/rzz83.png

    Basically, any packet arriving at a Network Card has go through the kernel to get anywhere, including the other network cards on the same machine. When a packet goes through the kernel, it goes from the Network Card on the left to the Network Card on the right (in the above diagram). This means it traverses the PREROUTING (DNAT), Traffic Policing (QoS Ingress), FORWARD (the firewall itself), and POSTROUTING (SNAT, MASQ), and finally Traffic Throggling (QoS Egress). 

    Remember that bridges are logical interfaces.  Creating a bridge does not change the number of physical Network Cards on your machine, and does not disable the firewall or router functionality in the Linux Kernel (netfilter). As far as how bridging factors into that diagram, it doesn't.  Because a bridge interface isn't a real physical NIC. Packets still arrive at one NIC (eth0) and go out the other (eth1) even in a bridge.  

    Don't ask me exactly how QoS and Interface Binding works on a bridge though, still stewing on that one.

    I hope this is at least slightly helpful and hasn't confused you further. [:)]  For more information, please see LARTC.