Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 3278 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Problems configuring web filtering in bridged mode

FormerMember
FormerMember
Hello all,

[SIZE="4"]first I like to explain what I want to achieve:[/SIZE]

Two servers need to communicate through a firewall. Because the subnet has only 2 assignable IP's (/252), I need to implement the Sophos UTM 9 as a transparent firewall:



The server must be able to communicate on port 12345 but must not be able to communicate in any other way, except for pings, which must work.

[SIZE="4"]This is what I did:[/SIZE]

Server 1 is connected to eth0, server 2 is connected to eth2. Interface eth2 is located in a different network to be able to manage the UTM.

I created a bridge between eth0 and eth1.

At this point I hoped that the two servers could communicate. It would not work. So I found this kb article and went through the steps 1-5 ("Enable the firewall rule"). It did not help. I cannot send pings through the UTM. To be sure I removed the UTM and connected them directly. Pings went through.

I need a little help here.

[SIZE="4"]This is what I don't understand:[/SIZE]

- Why do I need to create an interface on the bridge and even assign it a IP address?
- Despise the any/any rule, pings won't work. (I did not set up any other firewall rules, yet.)

Thanks in advance!

Haedrig


This thread was automatically locked due to age.
  • 0
    Hi, Haedrig, and welcome to the User BB!

    I'm not sure the solution you've explained to us is a good one.  Please tell us where the servers are relative to each other and the goal you are trying to accomplish and why you want the traffic to go through the UTM.

    - If you don't need an IP address, I suspect you don't need a bridge.
    - Pings are regulated on the 'ICMP' tab of 'Firewall'.

    Cheers - Bob
  • FormerMember
    0 FormerMember in reply to BAlfson
    This is the real case: I need another firewall between the existing router+firewall and the server with the public IP address.

    [removed image]

    But the case I explained earlier is technically the same thing I want to achieve. A transparent firewall between two directly connected devices.

    I know you try to give me better solutions and I appreciate that. But please understand, that I want to learn about transparent firewalls.

    Thank you.
  • 0
    I want to learn about transparent firewalls

    Great reason! [:)]

    Well, I haven't tried it, but you might be able to assign an IP to br0 that won't ever go through or to you, like 239.255.255.254/32 and use something like 88.99.10.134 (whatever is your default gateway assigned by your ISP) as the default gateway.  I'm confused that you would put a bridge in front of your public IP, but I suppose that should work - maybe you'll need to use your public IP as the default gateway - I dunno, I can't "see" the packet-flow at the moment.

    And you will need at least one Firewall rule like 'Allow : Internet -> {12345} -> Internet'.

    Did that get you started?

    Cheers - Bob
  • FormerMember
    0 FormerMember in reply to BAlfson
    Great reason! [:)] [...] I'm confused that you would put a bridge in front of your public IP [...] 


    Yeah, that's why I tried to break it down to the simple configuration in the beginning and I like to stay there.

    So server 1 has IP 1 and server 2 has IP 2 and they are connected via one ethernet cable. They can talk to each other.

    I put the UTM in between and bridge eth0 and eth1. No packets go through although there is an any/any rule. No pings go through although its activated in the ICMP tab.

    The document says I should create an interface br0 and give it an IP. I still don't understand why, because IP is on layer 3 but bridges are layer 2 devices.

    Also what you suggest (IP on br0 with GW) doesn't comply with what I am trying to achieve: an invisible device, because it is addressable through eth0 and eth1.

    You see, it's complicated [:D]
  • 0
    Have you tried my suggestion?  You will achieve invisibility with an 'Any -> Any -> Any' rule.

    Cheers - Bob
  • FormerMember
    0 FormerMember in reply to BAlfson
    Have you tried my suggestion?  You will achieve invisibility with an 'Any -> Any -> Any' rule.

    Cheers - Bob


    I have that rule, and as you can see my initial post stated that I already tried your suggestion. Do you have another idea?
  • 0
    I meant:
    Well, I haven't tried it, but you might be able to assign an IP to br0 that won't ever go through or to you, like 239.255.255.254/32 and use something like 88.99.10.134 (whatever is your default gateway assigned by your ISP) as the default gateway. I'm confused that you would put a bridge in front of your public IP, but I suppose that should work - maybe you'll need to use your public IP as the default gateway - I dunno, I can't "see" the packet-flow at the moment.


    Cheers - Bob
  • FormerMember
    0 FormerMember in reply to BAlfson
    Sorry, but that makes no sense. The UTM must act as layer 2. Setting up a GW would make the UTM act as layer 3. I don't want the UTM to route packets.
  • FormerMember
    0 FormerMember in reply to FormerMember
    I got it working! All I needed to do was bridging the interfaces, no need to assign any IP address (as I said several times).

    The problem was that I used Hyper-V to test this but the vNICs in the Sophos dropped the packages because they would not allow MAC spoofing. Once I changed that, it worked flawlessly.

    And to use the firewall I needed to create a network definition of the bridged network and could use this as source and destination.

    Thanks anyway for your help BAlfson, much appreciated and I believe you learned something about bridging, too! [:)]
  • 0
    I'd never tried to create a bridge on the ASG/UTM without creating an interface with an IP, and I've had some issues with bridged NICs in V9.  Glad to know that it seems to be working better!

    Haedrig, are you saying that you did or didn't have to make a firewall rule to allow the traffic to pass?  And, are you saying that you bridged two NICs, but did not create an 'Interface' definition for br0 in WebAdmin?

    Cheers - Bob