Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 4 subscribers
  • Views 3154 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Kein TFTP trotz any Regel

Moritz Esche

Hallo in die Runde,

ich verzweifel gerade ein bisschen und vielleicht hat einer von euch ja eine Idee.

Ich würde gerne zwischen 2 VLANs via TFTP Daten versenden. Randnotiz: Es geht dabei um das FOG Projekt für einen PXE Boot und die UTM9 ist dabei auch mein DHCP - falls es wichtig sein sollte. Dafür wird aus VLAN A eine Anfrage via TFTP gestellt um die Bootdatei vom Server in VLAN B runter zu laden.

Wenn ich die beiden Rechner ins gleiche VLAN packe (beide in VLAN B), klappt auch alles problemlos.

Ich habe jetzt eine Regel VLAN A -> UDP 69 -> VLAN B eingestellt. Damit ging es nicht. Aus Testzwecken habe ich dann VLAN A -> Any -> VLAN B eingestellt. Geht immer noch nicht ?!?!

Es gibt keine Regel die die Kommunikation irgendwie ausschließen würde. Im Live Log wird einfach die Regel "Standard-VERWERFEN" angezeigt.

Wie bekomme ich das umgangen?

Lieben Gruß,

Moritz



This thread was automatically locked due to age.
Parents
  • 0

    Das ist die Kopie aus dem Live Log: 

     

    14:56:34 Standard-VERWERFEN UDP
    192.168.140.176 : 35022

    192.168.110.98 : 1532

    len=57 ttl=63 tos=0x00 srcmac=c4:34:6b:82:b4:21 dstmac=7c:5a:1c:49:77:fc

     

    Das wiederholt er 30 mal (ein mal pro Sekunde) und dann startet der Rechner von der HDD.

  • 0 in reply to Moritz Esche

    Mit der Regel "VLAN A -> Any -> VLAN B" ...

    192.168.140.176 ist aus VLAN A and 192.168.110.98 aus VLAN B?

    Ist der TFTP-helper aktiviert?

    Port 69 ist nur für DHCP. Wenn die Sophos das macht ... bekommt der Remote-bootende Rechner eine IP?

    Er sollte dann kurzzeitig anpingbar sein.

    Sind für dieses Client-VLAN die DHCP-Optionen bezüglich TFTP auf der SG eingerichtet?

     


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Hallo Dirk,

     

    danke für deine Antwort! Es lag tatsächlich an dem TFTP Helper. Aber wieso überschreibt meine Any Regel nicht trotzdem das Standard Verwerfen?

    Any heißt doch grundsätzlich erstmal alle Ports, warum spielt es dann überhaupt eine Rolle, dass das TFTP Protokoll über mehrere Ports feuert?

     

    Aber hauptsache es geht jetzt erst einmal :)

    Danke für deine Hilfe,

     

    Moritz

  • 0 in reply to Moritz Esche

    Daher meine Frage zu den Subnetzen, VlanA/VlanB und source/destination .

    Ich denke mal, du hast eine Richtung erlaubt und dann initiert der Client die TFTP-Daten-Verbindung aus der anderen Richtung ... und dann passt die Regel natürlich nicht mehr.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to dirkkotte

    Ah okay, ja das kann sein. Ich bin davon ausgegangen, dass Regeln immer in beide Richtungen funktionieren wenn ich sie anlege.

    Also das VLAN A -> Any -> VLAN B eigentlich VLAN A <-> Any <-> VLAN B ist.

    Wenn dem nicht so ist, ist es natürlich relativ eindeutig woran es gelegen hat.

  • 0 in reply to Moritz Esche

    Sophos SG ist wie die meisten Firewalls eine "Stateful" Firewall.

    Erst wenn ein berechtigtes Paket den Paketfilter passiert (bei TCP muss es dann auch noch ein kompletter Handshake beginnend mit einem SYN für den Verbindungsaufbau sein), wird diese Verbindung in die Sessiontabelle eingetragen. 

    Dazu gehören dann wichtige Merkmale wie Source-IP, Source-Port, destination-IP und -Port.

    Daraufhin kommen die passenden Antwortpakete ebenfalls durch das System. Kein Eintrag in der Session-Tabelle ... kein Antwortpaket.

     


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0 in reply to Moritz Esche

    Hallo Moritz,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    Alone among the logs, the Firewall Live Log presents abbreviated information in a format easier to read quickly.  Usually, you can't troubleshoot without looking at the corresponding line from the full Firewall log file.  Please post one line corresponding to that above.  Also, tell us which IP is the server and which the client.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0 in reply to Moritz Esche

    Hallo Moritz,

    (Sorry, my German-speaking brain isn't creating thoughts at the moment. [:(])

    Alone among the logs, the Firewall Live Log presents abbreviated information in a format easier to read quickly.  Usually, you can't troubleshoot without looking at the corresponding line from the full Firewall log file.  Please post one line corresponding to that above.  Also, tell us which IP is the server and which the client.

    MfG - Bob (Bitte auf Deutsch weiterhin.)

     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data
Unfiltered HTML