Sophos – Como permitir rotas assimétricas?
O roteamento assimétrico é uma situação indesejada, mas muitas vezes necessária numa rede.
A assimetria ocorre quando os pacotes que fluem na mesma conexão TCP fluem por diferentes rotas. Isto pode causar comportamentos indesejados com Firewalls.
Ultrapassar o “problema” numa Sophos XG135 é relativamente simples. Esta opção deverá estar disponível noutros modelos igualmente.
Os passos necessários são:
Com o seu cliente ssh favorito, conecte-se ao CLi da Firewall.
Deverá visualizar o seguinte menu:
login as: admin admin@192.168.17.253's password: Sophos Firmware Version SFOS 17.5.3 MR-3 Main Menu 1. Network Configuration 2. System Configuration 3. Route Configuration 4. Device Console 5. Device Management 6. VPN Management 7. Shutdown/Reboot Device 0. Exit Select Menu Number [0-7]:
Ecolha a opção 4
Sophos Firmware Version SFOS 17.5.3 MR-3 console>
Execute os seguintes comandos para criar o bypass ao Stateful Inspection da firewall às sub-redes desejadas
console> set advanced-firewall bypass-stateful-firewall-config add source_network 192.168.17.0 source_netmask 255.255.255.0 dest_network 192.168.1.0 dest_netmask 255.255.255.0
E o Inverso
console> set advanced-firewall bypass-stateful-firewall-config add source_network 192.168.1.0 source_netmask 255.255.255.0 dest_network 192.168.17.0 dest_netmask 255.255.255.0
Execute os seguinte comando agora para poder visualizar as regras presente criadas:
show advanced-firewall console> show advanced-firewall Strict Policy : on FtpBounce Prevention : control Tcp Conn. Establishment Idle Timeout : 10800 UDP Timeout Stream : 60 Fragmented Traffic Policy : allow Midstream Connection Pickup : off TCP Seq Checking : on TCP Window Scaling : on TCP Appropriate Byte Count : on TCP Selective Acknowledgements : on TCP Forward RTO-Recovery[F-RTO] : off TCP TIMESTAMPS : off Strict ICMP Tracking : off ICMP Error Message : allow IPv6 Unknown Extension Header : deny Bypass Stateful Firewall ------------------------ Source Genmask Destination Genmask 192.168.17.0 255.255.255.0 192.168.1.0 255.255.255.0 192.168.1.0 255.255.255.0 192.168.17.0 255.255.255.0 192.168.17.0 255.255.255.0 192.168.6.0 255.255.255.0 192.168.6.0 255.255.255.0 192.168.17.0 255.255.255.0 192.168.17.0 255.255.255.0 192.168.11.0 255.255.255.0 192.168.11.0 255.255.255.0 192.168.17.0 255.255.255.0 NAT policy for system originated traffic --------------------- Destination Network Destination Netmask Interface SNAT IP
E é tudo. Problema resolvido.
Pode sempre contribuir em:
ETH: 0x222F6EdC8Ed1997dfD787Cf2af32a17d17e944EC
BTC: 1J4eCzthfyTZT39RhFsg2bmrmfAG2dZcV5