[firewall] Watchguard x750e - Problema

[cagnaluia]

Ciao,

ho un x750e.. che fa le bizze...

configuro il firewall come drop-in mode.

alla fine il wizard mi dice:

Your Firebox has been configured with a basic security policy which,

. Operates in Drop-in mode
. Allow selected outgoing traffic
. Block all incoming traffic
....



Bene..

attivo le route per le mie reti.. e tutto il traffico web/skype/etc.. inizia a girare...


attivo le policy per il server SMTP interno..
e quindi creo una SMTP-proxy policy di default che abilita le connessioni in ingresso ad essere nattate sul server di posta interno.

NIENTE da fare...

dall'esterno tutto è BLOCCATO....

solo le richieste fatte dall interno funzionano...


In effetti ho paura che quella ". Block all incoming traffic"....
impedisca qualsiasi traffico in ingresso a prescindere dalla policy creata!!?

Qualcuno che conosce watchguard potrebbe illuminarmi?... Io non ne vengo più fuori.


ciao, grazie.

[pacmas]

analisi:

occhio all'ordine delle policy; se non hai disabilitato l'auto-order quella che blocca tutto il traffico in incoming nega anche le policy proxy che hai nattato sui tuoi server interni

soluzione:

1-disabilita l'auto-order
2-fai prdecedere le regole in incoming proxate a quella che blocca tutto

fammi sapere
di dove sei ?

ciao

[hmetal]

concordo con pacmas. Disabilita l'autoorder. e metti in prima la regola che non ti matcha.

In ogni caso, apri invece del policy manager il system manager e controlla i log.

Se non ne vieni fuori girami il file di configurazione in pm che ci do un occhiata quando ho un attimo, con la descrizione di quello che vuoi fare. Devi darmi anche le password di lettura, quindi al limite prima di passarmi i files, cambiale.

ciao

[cagnaluia]

grazie, settimana prox farò una prova perchè sono via qualche gg...


e spiegherò la semplice config.

[cagnaluia]

ok, sono tornato in ufficio... sbrigato le varie cose..

ho trovato una novità sul supporto Watchguard

WatchGuard® System Manager 11.0
Fireware® XTM OS 11.0


sto scaricandoli...

li installerò per aggiornare l'attuale

WatchGuard® System Manager 10.2.10
Fireware® 10.2.10


e ripartire da zero con una nuova configurazione.

In giornata rinfrescherò il post.

[cagnaluia]

è da una settimana che con questo firmware funziona tutto alla perfezione...


solo una cosa, che ho scritto anche al supporto watchguard...

se abilito "Watchguard Web UI", questo mi scombina i piani per l'OWA (outlook web access) al quale non posso più accedere.

Succede che se mi collego all IP pubblico dall esterno, vengo nattato al exchange server che su porta http mi gestisce OWA.... tutto bene.

Se abilito "Watchguard Web UI" invece, la regola non viene più interpretata e invece di collegarmi ad OWA dall esterno vengo proiettato sulla WEB UI di Watchguard appunto....


boh.. misteri.

[cagnaluia]

non lo so come/cosa/quando/perchè...

ma dopo qualche ora... disable/enable... si è sistemato...


vai a capire te...





domanda:

vorrei abilitare l'SMTP SOLO ad un paio di indirizzi IP della mia rete... (il mio e il server exchange)
Ma come faccio?

1.
Io ho solo una regola che mi permette il traffico in entrata SMTP su tutte le interfacce del firewall, verso exchange via NAT.

2.
Poi ho la regola generica del firewall (quella di default) che abilita il traffico verso l'interno, SOLO, ovviamente previa richiesta dall'interno.

In che modo aggiungo una regola che mantenga la 1, e mi chiuda la 2 solo per l'SMTP ?

[nightfly]

Quote:

Originariamente inviato da cagnaluia

Ciao,
In effetti ho paura che quella ". Block all incoming traffic"....
impedisca qualsiasi traffico in ingresso a prescindere dalla policy creata!!?

Qualcuno che conosce watchguard potrebbe illuminarmi?... Io non ne vengo più fuori.


ciao, grazie.

Ed è proprio così. I firewall in genere valutano le regole in modo sequenziale, ovvero se un pacchetto rispetta una data regola, non vanno a guardare la regola immediatamente successiva.
L'unica peplessità che ho riguarda le policy di default, ovvero non vorrei che quel ". Block all incoming traffic" si riferisse al comportamento del firewall nel momento in cui un pacchetto in entrata non rispetta esplicitamente nessun altra regola definita dall'utente.

[hmetal]

x cagnaluia: la regola generale è che non puoi pubblicare piu di un servizio per ip pubblico. Per cui se la tua intenzione è fare quello che fai per exchange (cioè il nat sulla 25), hai due strade: o hai un altro ip pubblico da utilizzare (puoi impostare molti ip pubblici sulla stessa interfaccia pubblica, che poi ti troverai come scelta una volta che rifai la regola di nat), oppure pubblici il servizio smtp sul tuo pc su un altra porta.

x nightfly: confermo quello che hai detto. Per il block all incoming traffic, si tratta della regola implicita in ogni firewall. La differenza è che su alcuni firewall (tipo cisco), non la vedi in lista anche se c'è. E' la regola che deve stare in fondo alla lista e si matcha quando nessun altra regola è matchata.

ciao

[nightfly]

Quote:

Originariamente inviato da hmetal

x nightfly: confermo quello che hai detto. Per il block all incoming traffic, si tratta della regola implicita in ogni firewall. La differenza è che su alcuni firewall (tipo cisco), non la vedi in lista anche se c'è. E' la regola che deve stare in fondo alla lista e si matcha quando nessun altra regola è matchata.

ciao

Già, il deny all implicito delle ACL.