Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 5815 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Ethernet Bridge and VPN Passthrough.

SeanG
Hi All,

Been hacking away at my nice UTM 9 box, and found that when I create a bridge on 5 Eth ports on my appliance I have to create a firewall rule "Internal" --> Any --> "Internal" to pass any traffic.

Would this assume then that LAN traffic is then passed through the firewall? I was really hoping to avoid this!

My interfaces all all bridged to br0 with the original internal interface configured during the initial setup set as the covert interface. Is this where I might be going wrong, or is there a way to configure a vlan and add the interfaces into that instead? (Cisco method) The bridge to me is more like how watchguard turn their optional ports into a LAN but with no firewall involved.

Also is VPN pass through possible on this software? I have a Vodafone suresignal that doesn't want to work, That could be down to a number of factors at the moment, but it seems to establish a tunnel to Vodafone, but my phone wont register. works fine on the netgear prosafe i have.

Also I have an IPSEC site to site tunnel running as well back to my office for an IP handset


This thread was automatically locked due to age.
Parents
  • 0
    To add to what Bob said with regards to firewalls and bridges.

    I find this diagram extremely useful as a goto resource for understanding the firewall, NAT rules, QoS, and how to tell what component comes first in the order of precedence: http://i.stack.imgur.com/rzz83.png

    Basically, any packet arriving at a Network Card has go through the kernel to get anywhere, including the other network cards on the same machine. When a packet goes through the kernel, it goes from the Network Card on the left to the Network Card on the right (in the above diagram). This means it traverses the PREROUTING (DNAT), Traffic Policing (QoS Ingress), FORWARD (the firewall itself), and POSTROUTING (SNAT, MASQ), and finally Traffic Throggling (QoS Egress). 

    Remember that bridges are logical interfaces.  Creating a bridge does not change the number of physical Network Cards on your machine, and does not disable the firewall or router functionality in the Linux Kernel (netfilter). As far as how bridging factors into that diagram, it doesn't.  Because a bridge interface isn't a real physical NIC. Packets still arrive at one NIC (eth0) and go out the other (eth1) even in a bridge.  

    Don't ask me exactly how QoS and Interface Binding works on a bridge though, still stewing on that one.

    I hope this is at least slightly helpful and hasn't confused you further. [:)]  For more information, please see LARTC.
Reply
  • 0
    To add to what Bob said with regards to firewalls and bridges.

    I find this diagram extremely useful as a goto resource for understanding the firewall, NAT rules, QoS, and how to tell what component comes first in the order of precedence: http://i.stack.imgur.com/rzz83.png

    Basically, any packet arriving at a Network Card has go through the kernel to get anywhere, including the other network cards on the same machine. When a packet goes through the kernel, it goes from the Network Card on the left to the Network Card on the right (in the above diagram). This means it traverses the PREROUTING (DNAT), Traffic Policing (QoS Ingress), FORWARD (the firewall itself), and POSTROUTING (SNAT, MASQ), and finally Traffic Throggling (QoS Egress). 

    Remember that bridges are logical interfaces.  Creating a bridge does not change the number of physical Network Cards on your machine, and does not disable the firewall or router functionality in the Linux Kernel (netfilter). As far as how bridging factors into that diagram, it doesn't.  Because a bridge interface isn't a real physical NIC. Packets still arrive at one NIC (eth0) and go out the other (eth1) even in a bridge.  

    Don't ask me exactly how QoS and Interface Binding works on a bridge though, still stewing on that one.

    I hope this is at least slightly helpful and hasn't confused you further. [:)]  For more information, please see LARTC.
Children
No Data