Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 6385 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Fios Routing Of 10.0.0.0/8 IP Addresses

scottj_01
All-

Please see attached link from DSL reports. It raises some very interesting questions. The first question I have is how do I block all private addressing from going out to the internet from my UTM? The following ranges would need to be blocked:

 10.0.0.0/8
 172.16.0.0/12
 192.168.0.0/16

Currently I have a dnat rule to drop some CIDR's that was using 10.0.0.1 as a black hole so I thought. However is appears it may be going out to the internet.Oddly enough I get a response from the internet using not only 10.0.0.0/8 but on random private addresses in the 198 and 172 range. It appears some of the 10.0.0.0/8 may actually be some of verizon cisco routers.

https://secure.dslreports.com/forum/r28973061-Networking-Is-10.0.0.0-8-not-blackholed-

Thanks,
Jim


This thread was automatically locked due to age.
Parents
  • 0
    I didn't follow what you're doing, Jim, but Barry's right that #3 in Rulz can have exceptions.  Normally, the way to do this is to use Additional Addresses on an interface and use the resulting "(Address)" object created by WebAdmin.

    What this does, as far as I understand it, is to cause a traffic selector to apply to the INPUT chain instead of the FORWARD chain - this is what's behind #4 in Rulz.

    I didn't know how to make a traffic selector apply to the OUTPUT chain.  Can you log your firewall rule to prove that Barry's idea works for this?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    I didn't follow what you're doing, Jim, but Barry's right that #3 in Rulz can have exceptions.  Normally, the way to do this is to use Additional Addresses on an interface and use the resulting "(Address)" object created by WebAdmin.

    What this does, as far as I understand it, is to cause a traffic selector to apply to the INPUT chain instead of the FORWARD chain - this is what's behind #4 in Rulz.

    I didn't know how to make a traffic selector apply to the OUTPUT chain.  Can you log your firewall rule to prove that Barry's idea works for this?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    Hi Bob,

    I am trying to block the following CIDR's from leaving the internal network. The reason why is beacuse FIOS is actually routing 10.0.0.0/8  on their network. If you are on FIOS try going to 10.10.10.1 using a browser. You will receive a connection refused returned by the UTM. The address is also pingable and can be trace routed. This started because I have a DNAT rule using a 10 address as a black hole. The other day while looking at DSL reports I saw the attached post. Needless to say my black hole address was actually going out to the FIOS network... So the result being I wanted to terminate private addresses from leaving the internal network. So the question became how to block the noted CIDR's from leaving the UTM (outbound interface) The next question became should I apply the same rule to other CIDR's I have blocked? I don't have a log showing it going out. However I have attached the connection refused. By all indications the connection must be some type of network device (server, switch, router,). Domain who is states 88 web sites use this address, rather unhelpful. Please see tracert below, although it did not resolve to a device name clearly 10 addresses are beign used on Fios.

    Thanks,
    Jim


    10.0.0.0/8
    172.16.0.0/12
    192.168.0.0/16

    https://secure.dslreports.com/forum/...ot-blackholed-


    Microsoft Windows [Version 6.1.7601]
    Copyright (c) 2009 Microsoft Corporation.  All rights reserved.

    C:\Users\netadmin>tracert 10.10.10.1

    Tracing route to 10.10.10.1 over a maximum of 30 hops

      1    
Cookie Information Banner