Thread Info
  • State Not Answered
  • Replies 7 replies
  • Subscribers 0 subscribers
  • Views 407 views
  • Users 0 members are here
Options
Suggested

PPTP Ip filtering

raid
Hi,

I am very new in linux firewall vpn. I have setting up astaro v5 rc and have register for Office Version Release 5.000 for
home use.

I have problem on PPTP vpn, Ican connect form w2k/xp client
and be able to ping the internal host behind astaro v5.001
I have for 4 host behind astaro v5 and will only let pptp vpn to
able only connect to 2 host. But how can i filter the ip and
let PPTP vpn client to connect to the 2 host?.
Some suggest to create packet filter rules but did not work.
I try to create rules to drop all from PPTP Network. But client
still can connect to all server. Do not know how to make
astaro work with PPTP filtering. Filtering Vpn client is a very
very importance for secure other server that did not need
access by vpn client.
  • 0
    which packetfilter rules are currently active in your system?

    ~marcel
  • 0
    If you have servers on your local network that are not to be accessed remotely for security reasons, and are therefore only to be accessed from PCs on the same local  network, then you can secure these servers by removing the default gateway setting from their IP protocol configuration. Without a default gateway setting, they won't be able to send any packets out through a router. Problem solved.
  • 0 in reply to VelvetFog
    But you should still be able to connect to them by their IP address though, correct?
  • 0 in reply to JimmyM
    Servers that do not have a default gateway set, will only communicate with other devices that are on the same LAN segment (broadcast domain). You are correct in pointing out that packets from other networks can reach such servers, but the point is rather moot, since there will be no response, due to the fact that no return packets will get through.
  • 0 in reply to VelvetFog
    This sounds like a bodge/hack/messy solution if you ask me.  [:$]

    Technically it will work, but its not a good solution. 

    Far better to find out why the packet filter is not working on astaro, and find out if some of his rules are wrong.
  • 0 in reply to Manctastic
    [ QUOTE ]
    This sounds like a bodge/hack/messy solution if you ask me.  [:$]

    Technically it will work, but its not a good solution. 

    [/ QUOTE ] Actually, it is a standard, high security approach that students are trained on in computer security classes. It is a very secure and  simple approach. If you want to be sure that a critical server is only accessible on the local LAN, and NOT accessible to the outside world, then DON'T configure a default gateway address on it.

    In my view, configuring default gateway addresses on machines that obviously should not have them, and then try to fix it later by dropping the packets originating from the misconfigured servers once they hit the default gateway, is a worse approach.

    [ QUOTE ]
    Far better to find out why the packet filter is not working on astaro, and find out if some of his rules are wrong. 

    [/ QUOTE ] Yes, that would be the proper intellectual exercise to complete in an Astaro discussion forum.

    Mind you, anyone who accesses the local LAN from outside via a VPN, then use the VPN to run a Remote Desktop connection to a WinXPpro machine on the LAN, will be able to access ALL the local servers, completely bypassing any server specific packet filter rules that were put in place on the ASL box. In such a case, removing default gateway addresses on critical servers won't help either, as this too, will be bypassed.
  • 0 in reply to VelvetFog
    Well I guess i don't know enough about his network setup to know whether his servers need to access the outside world at all.

    Never come across the not setting a default gateway tip before, probably because I've never come across a server that doesnt need net access before (usually for updates), but I'm not exactly working in a secure enviroment [:)] 

    If he's concerned about security, it might be time to think about adding another interface to astaro and seperating things into a screened subnet (or DMZ if you want to use common but wrong terminology)
Cookie Information Banner