Why is user role firewall policy being hit when global firewall deny inter-user traffic is enabled?

MVP Expert
MVP Expert
Q:

Why is user role firewall policy being hit when global firewall deny inter-user traffic is enabled? 



A:

Scenario:
=========

In this scenario, Users are falling into the role(100 and 200) which denies the traffic to each other and also "Deny inter user traffic" in global firewall is enabled. Users are unable to ping each other as expected, but we are seeing the acl hits on the deny acls even though we have the knob "Deny inter user traffic" enabled in the global firewall.

 

(Aruba3600) #show user

Users

-----

    IP                                     MAC              Name       Role       Age(d:h:m)     Auth          VPN  link            AP name      Roaming          Essid/Bssid/Phy                     Profile

 ----------                           ------------             ------          ----          ----------            ----            --------                     -------              -------                  ---------------                         ------------

192.168.100.254  00:26:c6:b6:b3:08                     100          00:00:09                                                          AP1              Wireless       100/00:1a:1e:66:bf:d0/a-HT   test

192.168.200.254  00:26:c6:b6:30:be                     200          00:00:10                                                          AP1              Wireless       200/00:1a:1e:66:bf:d1/a-HT  t est


 
(Aruba3600) #show firewall | include Deny

Deny all IP fragments                          Disabled                 

Deny inter user bridging                    Disabled                 

Deny inter user traffic                         Enabled 

 

 

(Aruba3600) #show rights 100

Derived Role = '100'

 Up BW:No Limit   Down BW:No Limit  

 L2TP Pool = default-l2tp-pool

 PPTP Pool = default-pptp-pool

 Periodic reauthentication: Disabled

 ACL Number = 43/0

 Max Sessions = 65535


access-list List

----------------

Position  Name      Location

--------  ----      --------

1         100       

2         allowall  

100

---

Priority       Source         Destination                               Service           Action    TimeRange     Log     Expired     Queue  TOS   8021P   Blacklist   Mirror   DisScan

--------           ------              -----------                                      -------               ------         ---------            ------     -------          -----        ---     -----          ---------      ------      -------

                                                 
1                  any     192.168.200.0 255.255.255.0            any             deny                                  Low                                    

2                  any     192.168.50.0 255.255.255.0             any              deny                                  Low                                    

3                  any     any                                                        any             permit                                Low                                    

allowall

--------

Priority     Source  Destination  Service    Action  TimeRange  Log  Expired  Queue  TOS  8021P  Blacklist  Mirror  DisScan

--------         ------      -----------          -------        -----         ---------         ---      -------       -----       ---      -----       ---------   -----      -------

1                any         any                any        permit                                                   Low                                    

Expired Policies (due to time constraints) = 0

 

 

(Aruba3600) # show rights 200

Derived Role = '200'

 Up BW:No Limit   Down BW:No Limit  

 L2TP Pool = default-l2tp-pool

 PPTP Pool = default-pptp-pool

 Periodic reauthentication: Disabled

 ACL Number = 42/0

 Max Sessions = 65535

access-list List

----------------

Position  Name      Location

--------  ----      --------

1         200       

2         allowall  

200

---

Priority         Source     Destination                             Service      Action     TimeRange    Log     Expired    Queue    TOS    8021P    Blacklist    Mirror     DisScan

--------              ------        -----------                                     -------          ------       ---------                -----       -------       -----         ---         -----         ---------      ------         -------
                                                  
1                     any       192.168.50.0 255.255.255.0     any          deny                                                             Low                                    

2                     any       192.168.100.0 255.255.255.0  any          deny                                                              Low                                    

3                     any        any                                             any           permit                                                           Low                                    

allowall

--------

Priority    Source    Destination    Service    Action     TimeRange    Log    Expired    Queue    TOS    8021P    Blacklist    Mirror    DisScan

--------         ------            -----------         -------      ------           ---------           ---      -------           -----         ---        -----         ---------      ------    -------

1               any               any             any          permit                                                          Low                                    

Expired Policies (due to time constraints) = 0

 

 

(Aruba3600) # show acl hits role 100

User Role ACL Hits

------------------

Role       Policy    Src     Dst                                              Service    Action    Dest/Opcode    New Hits    Total Hits    Index

----           ------      ---        ---                                                -------        ------             -----------           --------         ----------       -----

100         100     any    192.168.200.0 255.255.255.0   any          deny                                       12                   12           8243

100          100     any   any                                               any          permit                                     85                   85           8245

 

 

(Aruba3600) #show acl hits role 200

User Role ACL Hits

------------------

Role         Policy    Src     Dst                                                Service     Action     Dest/Opcode    New Hits    Total Hits    Index

----             ------     ---        ---                                                    -------         ------           -----------             --------          ----------      -----

200          200       any    192.168.100.0 255.255.255.0      any         deny                                          0                9               8249

200          200       any     any                                                 any          permit                                       2               108            8250

 

 

Explanation:
============

This is because of Stateful firewall processing. During Stateful firewall inspection, the traffic is hitting the deny firewall rule defined in the user role. That is the reason why acl hits increments for that firewall rule defined in the user role(100 and 200). Once the deny rule is hit, the packet is dropped at user role level and it won't hit the global firewall knob  "Deny inter user bridging". Only when there is no acl that blocks the inter user network/ traffic defined in the role, it will be presented to the global firewall knob options for processing. 

When the traffic is processed by the Global Firewall knobs we do not expect to see the ACL hits for that traffic in the user role. That is because the user role do not contain any acl that matches the global firewall knob description. 

Version history
Revision #:
2 of 2
Last update:
‎03-19-2019 01:36 AM
Updated by:
 
Labels (1)
Contributors
Search Airheads
cancel
Showing results for 
Search instead for 
Did you mean: