Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 3093 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Some traffic not allowed through

safesax2002
The Setup

We have an ASG 120 with 3 interfaces activated. Besides basic firewall we also subscribe to, and only to, IPS. eth0 is the Lan, eth1 goes to a medical clinic within our building, and eth2 (disabled at the moment) also goes to a clinic within our building. Each interface has a static IP that falls within each network's valid range but is outside the range from the other networks.

I have setup PF rules that allow any traffic in the following way:

  • eth0  eth1 = yes
  • eth0  eth2 = yes
  • eth1  eth2 = no (this is so each clinic can't access each other's network)


We do have IPS turned on. We also plan on locking down services in the future but for initial installation we wanted everything wide open.

The Problem

We are able to ping from eth0 to eth1. I'm not 100% sure vice-versa but I think I can safely assume it pings that direction as well, as I'll explain next. I can access our internal web server from eth1. Some of the Docs from the clinic (on eth1) cannot RDP into their terminal server from our network (eth0) nor can their radiology department (eth1) send DICOM traffic from their system to ours (eth0).

The Findings

The IPS log is empty.
The PF log doesn't show anything blocked with the exception of a multicast that is coming from one of our switches (will fix that once the BIG problem is fixed).


This thread was automatically locked due to age.
Parents
  • 0
    Then the static route must be set in the core layer 3 switch, or the other networks also must have the Astaro as the default gateway.  The most elegant solution would appear to be deleting the IPs on the core switch and putting those IPs on the Astaro; the other networks routers will need to be rebooted to clear their ARP cache.

    Or, if it's just one or two devices you need to reach, you could put the route in them.

    Another alternative is to create a NAT rule like '{eth0 network} -> Any -> {eth1 network} : SNAT from {eth1 interface name} (Address)'.

    The real issues here are network design issues.  You can indeed reach their terminal server, but it's sending its response to your core layer 3 switch instead of to the Astaro.

    Cheers - Bob
    PS My dad's family is from Wisner, NE.  I've driven past you going south on Hwy 81 twice that I can remember!  (You might recognize my family name since my uncle Warren played football for the Cornhuskers a long time ago.)
Reply
  • 0
    Then the static route must be set in the core layer 3 switch, or the other networks also must have the Astaro as the default gateway.  The most elegant solution would appear to be deleting the IPs on the core switch and putting those IPs on the Astaro; the other networks routers will need to be rebooted to clear their ARP cache.

    Or, if it's just one or two devices you need to reach, you could put the route in them.

    Another alternative is to create a NAT rule like '{eth0 network} -> Any -> {eth1 network} : SNAT from {eth1 interface name} (Address)'.

    The real issues here are network design issues.  You can indeed reach their terminal server, but it's sending its response to your core layer 3 switch instead of to the Astaro.

    Cheers - Bob
    PS My dad's family is from Wisner, NE.  I've driven past you going south on Hwy 81 twice that I can remember!  (You might recognize my family name since my uncle Warren played football for the Cornhuskers a long time ago.)
Children