Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 62 replies
  • Subscribers 2 subscribers
  • Views 135509 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Despite Masquerading Internal Addresses Appear On WAN-Interface

Xavier2
Hi,

my Astaro (9.106-17) is placed on it's WAN-Interface behind another router.
The Astaro is the only device behind the other router and there's just one link
between them.

On the Astaro for all internal networks masquerading is switch on by rules like
'Internal network XX' to WAN-Interface.

Everything worked unsuspicious and quite well until yesterday.

On the external router I switched on a feature called Backroute Verify on the interface to the Astaro.. This means that incoming data packets are only accepted over this interface if outgoing response packets are routed over the same interface.

The subnet between the external router and the Astaro is 10.15.95.0/24.
Astaro has 10.15.95.10. the other has 10.15.95.20
Therefore the external router drops all packets not coming from an address within that subnet. This should be no problem since masquerading is turned on.


The other router logs dropped packets. 
In the logs I can see a lot of of dropped packets from source addresses
behind the Astaro.

How can this happen with masquerading turned on?

It seems like the Astaro doesn' substitute the source address with it's own WAN address.

Surfing, Mailing everything seems to work from inside the Astaros's internal LANs.

But some TCP messages [RST or FIN,ACK odr RST,ACK] go trough. TCP Seq is always '1'.
Only these types of packets. No TCP payload packets and also no UDP.


I can see the with Wireshark too.

I've no clue.
What can I check?

Best regards
Xavier


-----------------------------

Sorry, by posting this messages there appear also some payload packets with internal addresses on the WAN Interface.


This thread was automatically locked due to age.
  • 0 in reply to BarryG
    Hi, if that helps, please post the exact rule.

    Thanks!
    Barry


    Hi.

    I agree with Barry. What does Sophos mean? 
    Any service? 
    Any source?
    Any destination?

    What are the brands of other firewalls leaking like UTM?
    And why don't they warn users explicitly? This is a security issue.

    @T-Roc: Perhaps the leaking of SIPs related to UTM's SIP-Proxy.
    Is yours turned on?

    Xavier
  • 0
    Hi,
    sorry they didn't mention any firewall brands.

    I don't have the SIPs Proxy enabled I don't even have any SIP traffic. ;-)

    I am still in contact with our distributors technician because I don't quite understand their answer.

    I am going to tell you their answers.
  • 0
    Hi,
    I asked them for the firewall brands that would act like the sophos UTM. I didn't get any answer.

    I think I know what the Porblem might be but don't know what to do about it.

    I have a masq rule configured for my internal network and also a Firewall rule that allows
    any service from my internal network to any.
    This is supposed to be the rule that is causing the problem. They told me to change it from any to internet as destination cause any allows to any attached network on the utm.
    I changed the rule to internet but the problem still exists. Well, knew that before cause in my opinion it doesn't matter if I have any configured or internet. The servers that I am trying to contact are on the internet so whats the difference in any or internet?
    (Realy, I would like to know.)

    Well, what I think is happening, is that after the connection is deleted from the contrac table any packets that are sent out afterwards will just not be applied to the masq rule but to the firewall rule and that is why the packets get send out with the internal address.

    I talked to some colleagues who are working with juniper, palo alto and cisco firwalls. They all agreed that this is NOT a normal behaviour and that they have never noticed such a behaviour on their firewalls. They even told me that exactly for these kind of problems their should be something like a tcp syn check. So no packets get send out that do not have an established tcp connection on the firewall. I don't know if sophos doesn't have this check or it is just not working right.

    I told my distributor that I changed the rules and the problem still exists but I don't get any answer so I guess there will be no further troubleshooting from this side.
    Sorry.

    P.s.: If any of the sophos staff that was looking at this problem or my distributor is reading this please tell us if we have mistakes in our config or this is really a bug in the utm.
  • 0
    Hi,

    You probably already know this but...
    An example of the difference between ANY and Internet:
    Imagine you have a LAN and a DMZ (and an Internet connection)... 
    From DMZ to ANY would allow traffic from the DMZ into the LAN, but From DMZ to Internet would not.

    As far as your situation, I can't see why it would make a difference.

    Do you have Spoofing Protection enabled? Maybe try it, with and without Strict Mode.
    However, I suspect this won't help either; I keep mine on in non-strict mode already.

    Still seems like a bug to me. 
    I will try to open a support case after I get my 7.x system upgraded to 9.x (which will be awhile).

    Barry
  • 0
    This describes what you're seeing. This is something that Sophos should look into as it appears a simple rule addition fixes the leaked packets.

    Ubuntu Linux iptables firewall rules to prevent TCP package leakage. WWW.Smythies.com
  • 0
    Awesome, this is exactly what i See in my wireshark. I will send this link to my Distributor and ask him to forward this to Sophos.thanks a lot thedrew.
    I will tell you the answer if there will be one.
  • 0
    I couldn't imagine how "Any" could cause the problem as destination, because "Internet" would not have excluded 10. subnets.   Drew rifles another one past the goalie!  

    Cheers - Bob  

    Sorry for any short responses.  Posted from my iPhone.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi.

    a merry Christmas to all of you.

    @Drew: Thank you very much for your contribution.

    Like T-Roc, this is exactly what I see tracing the traffic.
    It's embarrassing that Sophos isn't aware of this issue.
    Let's see what the excuse will be to T-Roc's reply.

    Xavier
  • 0
    Hi

    Bump and @T-Roc: Any news from Sophos?

    Xaver
  • 0
    Hi, I have sent the links from drew to my Distributor but didn't get an answer yet.I think there won't be one.

    Nevertheless, we are about to sign a new support contract for our sophos UTMs. I will try to get into this problem again with the new support. Just can't say when the contract will be signed.
Cookie Information Banner