Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 2 subscribers
  • Views 14563 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Default Drop with an Allow Any to Any

Bart van Kampen
Hi all,

Im trying to connect with the Sophos IPSec Client to my UTM.
I've added an allow Any to Any rule in the firewall for testing purposes, but port 500 is keeping blocked by an 'Default Drop'.

Can anyone tell my why this happens? Do I miss something in the firewall rule set? 

Thanks,
Bart

UTM Version: 9.310-11

btw: Rule 1&2 are automatically created rules for the Remote Access
:123 is my client in the WAN segment. 
:1 is the address of the UTM WAN interface.


This thread was automatically locked due to age.
Parents
  • 0
    Utmadm, you have a Windows 7 PC that is using IPv6, you've configured Windows Firewall to use IPsec with IPv6, you have no masq or NAT rule for the traffic from your PC to the Internet, you are sniffing the traffic at the UTM and it is not encrypted?

    Bart, your firewall rule doesn't apply to traffic in the INPUT chain (see the attachment in Rulz).  It appears that the IPsec server doesn't yet support IPv6 or maybe there's a configuration issue.  I like to use the same technique for access to WebAdmin - adding "Bart (User Network)" to 'Allowed networks' in 'WebAdmin Settings'.

    Cheers - Bob
  • 0 in reply to BAlfson
    Utmadm, you have a Windows 7 PC that is using IPv6, you've configured Windows Firewall to use IPsec with IPv6, you have no masq or NAT rule for the traffic from your PC to the Internet, you are sniffing the traffic at the UTM and it is not encrypted/

    Bart, your firewall rule doesn't apply to traffic in the INPUT chain (see the attachment in Rulz).  It appears that the IPsec server doesn't yet support IPv6 or maybe there's a configuration issue.  I like to use the same technique for access to WebAdmin - adding "Bart (User Network)" to 'Allowed networks' in 'WebAdmin Settings'.

    Cheers - Bob

    Hi Bob,

    No. I have a Mac running OS X 10.9.5 (Mavericks) that is has a fixed "Manual" IPv4 address and IPv6 enabled in Advanced->Configure IPv6 to "Automatically". It uses the standard OS X application level firewall with none of the options checked, and with an assortment of applications configured for Allow or Block as appropriate.

    There is an Internal to External NAT rule on the UTM. The NAT rule appears to apply to the IPv4 10-net (a /24) and the IPv6 network (a /64), which I see when I edit the NAT rule and hover the mouse over the "Network" entry. All internal IPv4 addresses are on the private 10-net. Most systems have fixed IPv4 addresses and automatic IPv6 addresses as described above. 

    The UTM is the DHCP server for the IPv4 10-net, the only DHCP server. I did not create an IPv6 DHCP server on the UTM. 

    I created masquerade rules on the UTM that redirect input on randomly chosen ports to local ports on certain systems for remote connections to those systems. (Someday, I will replace it with VPN access.) I doubt these have anything to do with it.

    I sniffed the packets using Wireshark on the same Mac that performed the various network actions. 

    I hope this helps. 

    Cheers,

    utmadm
Reply
  • 0 in reply to BAlfson
    Utmadm, you have a Windows 7 PC that is using IPv6, you've configured Windows Firewall to use IPsec with IPv6, you have no masq or NAT rule for the traffic from your PC to the Internet, you are sniffing the traffic at the UTM and it is not encrypted/

    Bart, your firewall rule doesn't apply to traffic in the INPUT chain (see the attachment in Rulz).  It appears that the IPsec server doesn't yet support IPv6 or maybe there's a configuration issue.  I like to use the same technique for access to WebAdmin - adding "Bart (User Network)" to 'Allowed networks' in 'WebAdmin Settings'.

    Cheers - Bob

    Hi Bob,

    No. I have a Mac running OS X 10.9.5 (Mavericks) that is has a fixed "Manual" IPv4 address and IPv6 enabled in Advanced->Configure IPv6 to "Automatically". It uses the standard OS X application level firewall with none of the options checked, and with an assortment of applications configured for Allow or Block as appropriate.

    There is an Internal to External NAT rule on the UTM. The NAT rule appears to apply to the IPv4 10-net (a /24) and the IPv6 network (a /64), which I see when I edit the NAT rule and hover the mouse over the "Network" entry. All internal IPv4 addresses are on the private 10-net. Most systems have fixed IPv4 addresses and automatic IPv6 addresses as described above. 

    The UTM is the DHCP server for the IPv4 10-net, the only DHCP server. I did not create an IPv6 DHCP server on the UTM. 

    I created masquerade rules on the UTM that redirect input on randomly chosen ports to local ports on certain systems for remote connections to those systems. (Someday, I will replace it with VPN access.) I doubt these have anything to do with it.

    I sniffed the packets using Wireshark on the same Mac that performed the various network actions. 

    I hope this helps. 

    Cheers,

    utmadm
Children
No Data