Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 6343 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Fios Routing Of 10.0.0.0/8 IP Addresses

scottj_01
All-

Please see attached link from DSL reports. It raises some very interesting questions. The first question I have is how do I block all private addressing from going out to the internet from my UTM? The following ranges would need to be blocked:

 10.0.0.0/8
 172.16.0.0/12
 192.168.0.0/16

Currently I have a dnat rule to drop some CIDR's that was using 10.0.0.1 as a black hole so I thought. However is appears it may be going out to the internet.Oddly enough I get a response from the internet using not only 10.0.0.0/8 but on random private addresses in the 198 and 172 range. It appears some of the 10.0.0.0/8 may actually be some of verizon cisco routers.

https://secure.dslreports.com/forum/r28973061-Networking-Is-10.0.0.0-8-not-blackholed-

Thanks,
Jim


This thread was automatically locked due to age.
  • 0
    Hi, I believe this should work:

    1. Create Network Definitions for each of those networks, and bind them to the EXT/WAN Interface (advanced settings).

    2. create a firewall rule to REJECT all traffic to those destinations. (drop is OK, but reject is more informative)

    Barry
  • 0 in reply to BarryG
    Hi Barry,

    Thank you. I take it that I can create a group for those networks and use the group in the firewall rule. One other question, should I maintain the current DNAT group for dropping CIDR and hosts or use the same firewall rule used for blocking private addressing.

    Thanks,
    Jim
  • 0
    Hi,

    Yes, a Network Group would work.

    Firewall rules are preferred over blackhole NATs when possible, as it's normally easier to work with all the drops on the firewall page.

    Note that you should not normally bind definitions to interfaces, except in special circumstances like this. It's necessary here to keep from breaking your VPNs.

    Barry
  • 0 in reply to BarryG
    Hi Barry,

    Thank you for your help. When I read your post the first thing I though of was the rulz you have posted.

    Thanks,
    Jim
  • 0
    Actually Bob (BAlfson) posted the Rulz.

    Barry
  • 0 in reply to scottj_01
    Hi Barry,

    The configuration does not block the CIDR's I noted. I created a network definition for each. Added then to a group Blocked CIDR. Created a firewall rule Blocked CIDR. The firewall rule is any>any>blocked CIDR, and enabled and is the secon rule from the top. However no blocking is taking place. Can you provide some direction?

    Thanks,
    Jim
  • 0
    Hi,

    How are you testing; Are you using the http proxy or anything else that circumvents firewall rules?

    Note that pings are not regulated by firewall rules using the 'ANY' service.

    Barry
  • 0 in reply to BarryG
    Hi Barry,

    I think you hit the nail on the head. tracert and ping were used. However when using firefox trying to connect to 10.10.10.1 I got connection refused. I have a number of CIDRs in the group configured in then same manor you noted. I am still able to access those web sites. Regarding the connection refused I believe the device may be a switch or router which support the connection refusal.

    Thanks,
    Jim
  • 0
    I didn't follow what you're doing, Jim, but Barry's right that #3 in Rulz can have exceptions.  Normally, the way to do this is to use Additional Addresses on an interface and use the resulting "(Address)" object created by WebAdmin.

    What this does, as far as I understand it, is to cause a traffic selector to apply to the INPUT chain instead of the FORWARD chain - this is what's behind #4 in Rulz.

    I didn't know how to make a traffic selector apply to the OUTPUT chain.  Can you log your firewall rule to prove that Barry's idea works for this?

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob,

    I am trying to block the following CIDR's from leaving the internal network. The reason why is beacuse FIOS is actually routing 10.0.0.0/8  on their network. If you are on FIOS try going to 10.10.10.1 using a browser. You will receive a connection refused returned by the UTM. The address is also pingable and can be trace routed. This started because I have a DNAT rule using a 10 address as a black hole. The other day while looking at DSL reports I saw the attached post. Needless to say my black hole address was actually going out to the FIOS network... So the result being I wanted to terminate private addresses from leaving the internal network. So the question became how to block the noted CIDR's from leaving the UTM (outbound interface) The next question became should I apply the same rule to other CIDR's I have blocked? I don't have a log showing it going out. However I have attached the connection refused. By all indications the connection must be some type of network device (server, switch, router,). Domain who is states 88 web sites use this address, rather unhelpful. Please see tracert below, although it did not resolve to a device name clearly 10 addresses are beign used on Fios.

    Thanks,
    Jim


    10.0.0.0/8
    172.16.0.0/12
    192.168.0.0/16

    https://secure.dslreports.com/forum/...ot-blackholed-


    Microsoft Windows [Version 6.1.7601]
    Copyright (c) 2009 Microsoft Corporation.  All rights reserved.

    C:\Users\netadmin>tracert 10.10.10.1

    Tracing route to 10.10.10.1 over a maximum of 30 hops

      1