Roteamento Assimétrico

Sophos – Como permitir rotas assimétricas?

O roteamento assimétrico é uma situação indesejada, mas muitas vezes necessária numa rede.
A assimetria ocorre quando os pacotes que fluem na mesma conexão TCP fluem por diferentes rotas. Isto pode causar comportamentos indesejados com Firewalls.

Ultrapassar o “problema” numa Sophos XG135 é relativamente simples. Esta opção deverá estar disponível noutros modelos igualmente.

Os passos necessários são:

Com o seu cliente ssh favorito, conecte-se ao CLi da Firewall.
Deverá visualizar o seguinte menu:

login as: admin
admin@192.168.17.253's password:

Sophos Firmware Version SFOS 17.5.3 MR-3

Main Menu

    1.  Network  Configuration
    2.  System   Configuration
    3.  Route    Configuration
    4.  Device Console
    5.  Device Management
    6.  VPN Management
    7.  Shutdown/Reboot Device
    0.  Exit

    Select Menu Number [0-7]:

Ecolha a opção 4

Sophos Firmware Version SFOS 17.5.3 MR-3

console>

Execute os seguintes comandos para criar o bypass ao Stateful Inspection da firewall às sub-redes desejadas

console> set advanced-firewall bypass-stateful-firewall-config add source_network 192.168.17.0 source_netmask 255.255.255.0 
       dest_network 192.168.1.0 dest_netmask 255.255.255.0 

E o Inverso

       
       console> set advanced-firewall bypass-stateful-firewall-config add source_network 192.168.1.0 source_netmask 255.255.255.0 
       dest_network 192.168.17.0 dest_netmask 255.255.255.0 

Execute os seguinte comando agora para poder visualizar as regras presente criadas:

show advanced-firewall
console> show advanced-firewall
        Strict Policy                           : on
        FtpBounce Prevention                    : control
        Tcp Conn. Establishment Idle Timeout    : 10800
        UDP Timeout Stream                      : 60
        Fragmented Traffic Policy               : allow
        Midstream Connection Pickup             : off
        TCP Seq Checking                        : on
        TCP Window Scaling                      : on
        TCP Appropriate Byte Count              : on
        TCP Selective Acknowledgements          : on
        TCP Forward RTO-Recovery[F-RTO]         : off
        TCP TIMESTAMPS                          : off
        Strict ICMP Tracking                    : off
        ICMP Error Message                      : allow
        IPv6 Unknown Extension Header           : deny


        Bypass Stateful Firewall
        ------------------------
         Source              Genmask             Destination         Genmask
         192.168.17.0        255.255.255.0       192.168.1.0         255.255.255.0
         192.168.1.0         255.255.255.0       192.168.17.0        255.255.255.0
         192.168.17.0        255.255.255.0       192.168.6.0         255.255.255.0
         192.168.6.0         255.255.255.0       192.168.17.0        255.255.255.0
         192.168.17.0        255.255.255.0       192.168.11.0        255.255.255.0
         192.168.11.0        255.255.255.0       192.168.17.0        255.255.255.0
         

        NAT policy for system originated traffic
        ---------------------
        Destination Network     Destination Netmask     Interface       SNAT IP

E é tudo. Problema resolvido.

Pode sempre contribuir em:
ETH: 0x222F6EdC8Ed1997dfD787Cf2af32a17d17e944EC
BTC: 1J4eCzthfyTZT39RhFsg2bmrmfAG2dZcV5

Add a Comment

O seu endereço de email não será publicado. Campos obrigatórios marcados com *