Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 3079 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Can't disable DMZ to Internal Access and Other Rules issues

roytmana
Hi,
I have defined 4 Interfaces - WAN (eth1) and Internal (eth0) were created by the wizard and I added Household (eth2) and DevLab (eth3) 
I also have Masquerading rules Internal -> WAN, Household -> WAN and DevLab -> WAN 

I want to prevent any traffic from Household to DevLab and Internal and from DevLab to Internal Firstly I was surprised that without any rules permitting such access I can freely reach across interfaces. Then I created DENY rules from Household->AnyService->Internal + DevLab and similar for dev lab and put them the very first in the list to reject _tried drop too_ packets -NOTHING they are entirely ignoded. The traffic comes through and live log does not show any rejected/dropped packets Please see attached screenshots 

Since then I changed destinations in my ALLOW rules to be my WAN network not Any did not help. I was completely baffled when I started digging and turned off Allow rule from internal to WAN and was still able to access it. I appears that the whole firewall is turned OFF!

Thank you, Alex


This thread was automatically locked due to age.
Interfaces.zip
  • 0
    I think your firewall rules should be "LAN > any > Internet IPv4/v6", not "LAN > any > any".

    Is that how it's currently configured?
  • 0
    Hello
    I am having a similar problem with my Guest-Networks

    They can reach (ping as well as some other services as HTTP) the internal networks.
    Guest networks are on a separate NIC and a firewall rule for the guest-network->Any->Any should prevent this!

    Why is that not working?

    The guest network is not included in any proxy config. Simply WAN access via packet filter rule (Guest-> Any -> Internetv4+v6)
  • 0
    The guest network is not included in any proxy config
    Can you double check this?  Proxies, like the web filtering proxy create their own firewall rules, based on what is in Allowed Networks boxes, that have precedence over manually created firewall rules.  If the traffic is running through the proxy, then it must be blocked in the proxy or the proxy must be bypassed for manual firewall rules to have effect.

    As far as ping, see Network Protection > Firewall > ICMP
  • 0
    Hello
    yes internal networks are.
    The problem is that access from Guest to internal should still not be possible.
    The access attempt by the guest-network IP should be blocked.

    ICMP in general is allowed in our network. Nevertheless my Block rule for the guest network also includes the ICMP-ping request, therefore it should also been blocked
  • 0
    That your manual block rule doesn't work indicates that the traffic is being allowed by a system rule with higher precedence, which would most likely be web filtering proxy allowed networks or a misconfigured NAT rule with automatic firewall rule checked.  Have you used the Any definition object in either of these two places (or anywhere in webadmin that you find an Allowed Networks box)?
  • 0
    You might be interested in a document I maintain, "Configure HTTP Proxy for a Network of Guests."  If you would like me to send you this, click on my name beside the Cyrano avatar and send me an email requesting it.  I also maintain a version auf Deutsch translated by fellow member hallowach when he and I did a major revision in 2013.

    Cheers - Bob