Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 3091 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Some traffic not allowed through

safesax2002
The Setup

We have an ASG 120 with 3 interfaces activated. Besides basic firewall we also subscribe to, and only to, IPS. eth0 is the Lan, eth1 goes to a medical clinic within our building, and eth2 (disabled at the moment) also goes to a clinic within our building. Each interface has a static IP that falls within each network's valid range but is outside the range from the other networks.

I have setup PF rules that allow any traffic in the following way:

  • eth0  eth1 = yes
  • eth0  eth2 = yes
  • eth1  eth2 = no (this is so each clinic can't access each other's network)


We do have IPS turned on. We also plan on locking down services in the future but for initial installation we wanted everything wide open.

The Problem

We are able to ping from eth0 to eth1. I'm not 100% sure vice-versa but I think I can safely assume it pings that direction as well, as I'll explain next. I can access our internal web server from eth1. Some of the Docs from the clinic (on eth1) cannot RDP into their terminal server from our network (eth0) nor can their radiology department (eth1) send DICOM traffic from their system to ours (eth0).

The Findings

The IPS log is empty.
The PF log doesn't show anything blocked with the exception of a multicast that is coming from one of our switches (will fix that once the BIG problem is fixed).


This thread was automatically locked due to age.
  • 0
    If you want some traffic to go from network on eth1 to eth0 or eth2 you must create PF rules for this traffic i.e
    to let RDP from eht1 to etho create PF rule  to  service RDP allow.
    your rules only allow traffic originating from eth0 to eth1 and eth2 only not the the opposite direction.


    HTH
  • 0
    Sorry. I was trying to convey that with the "". I do have packet filter rules to allow both ways. I am able to ping/tracert across but am unable to go across with any kind of payload (rdp, http, etc.).
  • 0
    You didn't mention a WAN connection, so I'll guess that you have a router that's the default gateway for your internal network.  If that's the case, you need to add a static route in that router for each network naming the ASG's eth0 IP as the gateway.

    Cheers - Bob
  • 0
    Correct. There is no WAN connection on this box. The eth0 interface has a Default GW set to our core layer 3 switch. Each network has its own default gateway (that we don't manage) so their networks can't be changed.
  • 0
    Then the static route must be set in the core layer 3 switch, or the other networks also must have the Astaro as the default gateway.  The most elegant solution would appear to be deleting the IPs on the core switch and putting those IPs on the Astaro; the other networks routers will need to be rebooted to clear their ARP cache.

    Or, if it's just one or two devices you need to reach, you could put the route in them.

    Another alternative is to create a NAT rule like '{eth0 network} -> Any -> {eth1 network} : SNAT from {eth1 interface name} (Address)'.

    The real issues here are network design issues.  You can indeed reach their terminal server, but it's sending its response to your core layer 3 switch instead of to the Astaro.

    Cheers - Bob
    PS My dad's family is from Wisner, NE.  I've driven past you going south on Hwy 81 twice that I can remember!  (You might recognize my family name since my uncle Warren played football for the Cornhuskers a long time ago.)
  • 0
    Did you disable ICMP, ping and trace route in the menu

    Network Security > Packetfilter > ICMP?

    As those always allow ping and tarcroute even if all other rules only block.

    Hope that helps,
    Gert
  • 0
    Ah. Thanks for the bit of into Gert. Obviously it won't fix the problem but at least I'll have some consistency. [:)]
  • 0 in reply to BAlfson
    @BAlfson

    Cool. I'm originally from Norfolk and my dad grew up in Pilger. Small world.