Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 4222 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Firewall Rules Not taking Affect

Breakingcustom
Here is the setup:

UTM220 (Tagging VLAN's 50-51,55 on eth0)
HP ProCurve V1910-48GB (Tagging VLAN's 50-51,55 on Gi1/0/48)

For testing purposes I put one port on the switch on VLAN50 and one on VLAN51.  You are unable to ping from VLAN51, but you can access the web interface of anything on the VLAN50 network.  The gateways for each network is the UTM firewall.

I even created a rule and placed it at the top as follows: VLAN51 > Any > VLAN50 > Reject.  I logged the traffic for that packet filter, but when I open the live log I don't see anything.  My feeling is that it's going through the switch and not even hitting the firewall.  I don't want the switch to do an ACL's because the V1910 serious (from what I read) can be kind of a pain when doing ACL's.

On the switch there is only one VLAN interface for VLAN50 and not for 51,55.

Any ideas?

Basically, all I want is the VLAN51 network to have SMB capabilities when the new file server goes online and that's it to the VLAN50 network.


This thread was automatically locked due to age.
  • 0
    I'm not sure I "see" what you're trying to do.  It seems like you would want all of the VLANs on the same eth or lag.  And, it seems like you should make sure that you're not doing some inter-VLAN routing in the ProCurve.

    In any case, the ping settings on the ICMP tab of Firewall are allowing that ping before you try to block it.

    Cheers - Bob
  • 0 in reply to BAlfson
    Basically I don't want the VLAN51 network to have access to anything on the VLAN50 network (as of right now).  Once the file server goes in, they'll just need access to SMB for file shares.

    As of right now nothing can ping each other, but on the VLAN51 they can still access the web interfaces of devices on the VLAN50 network.
  • 0
    If the VLANs are terminated on the UTM and not in the switch, you will need Firewall rules to allow any desired traffic between them.

    If you have Web Filtering active, then the traffic probably is passing via the proxy.  If the proxy is in Transparent mode, you will want to put VLAN50 into the 'Skip transparent mode destination hosts/nets' list, uncheck 'Allow HTTP/S traffic for listed hosts/nets' and make Firewall rules allowing desired traffic.

    If VLAN50 is using the Proxy in Standard mode, send an email to my username here @ the domain name in my signature and ask for "Configure HTTP Proxy for a Network of Guests."

    Cheers - Bob
  • 0 in reply to BAlfson
    I'll give the Web Proxy a shot.  There are already firewall rules in place, just when I try to connect to things the rules aren't taking affect.  I even have "Log Traffic" and watched the live log and nothing hit.
  • 0
    Hi, if the "Log Traffic" option isn't working then:

    a. an earlier firewall rule (or a built-in rule) has priority
    b. a NAT or VPN setting has the "auto firewall rule" option enabled
    c. the traffic isn't getting to the firewall (routing issues, etc.)

    You can run tcpdump on the console, it often makes debugging easier.

    Pings are regulated in the ICMP settings tab.

    Barry
  • 0 in reply to BarryG
    a. The only "Automatic" firewall rules are as follows:
    SuperAdmins > Any > Internal
    My LAN Network  > Any > Internal
    Internal > Any > My LAN Network

    The last two are apart of a IPsec site-to-site tunnel.  My LAN Network is my private IP range.  I have the remote UTM's talking back to my SUM.

    When it comes to NAT, basically just the basics.
    Internal > External
    Students > External
    My LAN Network > Internal

    What I can do is hook up a laptop and do port mirroring on one of the devices that has a webserver and see if I can see the traffic not even reaching the firewall.

    See attached the routes on the switch.  The HP doesn't auto-create a route unless you add a VLAN interface to a VLAN.
  • 0
    Can your VLAN50 network reach any VLAN51 webinterface or just the interface of the UTM in that VLAN?
    I think it is "by design" that the UTM by default listens on all interfaces and the UTM itself (I think a lot of other routers too) doesn't consider the traffic as routing since it doesn't need to put the packet onto the VLAN51 but can answer the request all by itself. That's also why the packets aren't visible in the packet filter logs I guess.
  • 0 in reply to apijnappels
    It's the other way around.  VLAN51 is able to reach the VLAN50 web interfaces.
  • 0
    Hi Breakingcustom,
    till now its not really clear for me wich WebInterface you mean.
    Is it from the Switch or from the UTM or is it an otherone?

    Firebear
  • 0 in reply to firebear_01
    Basically if someone is on VLAN51, they can get to the web interface of the HP ProCurve switch, the web interface of the two time clocks, and so forth.  Those are all on VLAN50.  There is even a firewall set to block ANY service from VLAN51 to VLAN50.