Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 9 replies
  • Subscribers 0 subscribers
  • Views 2256 views
  • Users 0 members are here
Options
Suggested

Packet filtering disabled?

mhibler
Hi guys!

After applying the Essential License to the ASG virtual appliance (v8.000, Pattern version: 12925), the Dashboard shows "Subscriptions: Base Functionality".

Is that OK?

Well, it seems that packet filtering is not working (well, actually it is - it drops the packets [:D] ) despite the Rules I'm creating - I even created the "Any - Any - Any" Rule on top of list which, after activating, still drops the same packets like before its activation.

Additionally, it seems that some other services that I can not change the status of after applying the license, are showing as "Active" (ie. "Intrusion Prevention", "HTTP/S Proxy", ...).

Am I missing something here?

Thanks!

[EDIT]

Thanks to Bob, I successfully solved the problem - see my other post further down there...
  • 0
    Hi, have you setup Masquerading?

    Also, don't do Any-Any-Any; do LAN-Any-Any if you need.

    IPS and the Proxies are not enabled in the Essential License.

    If you're using this for personal use, not business, you can apply for a home user license which includes more functionality; see http://my.astaro.com

    Barry
  • 0
    If you need more help, show us lines from the full (not the live) packet filter log where the traffic is dropped.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BarryG
    Barry,

    Thank you for fast answer:

    Hi, have you setup Masquerading?


    Yes, there's one Masquerading rule: Internal (Network) -> External (WAN) with ">".

    Also, don't do Any-Any-Any; do LAN-Any-Any if you need.


    Only for testing purposes. Not used otherwise, of course (tried LAN-Any-Any too - no go).

    IPS and the Proxies are not enabled in the Essential License.


    This is what puzzles me (see the attached picture) - the status of services that says "active"... So, are they really active and I just don't have the (licence) rights to manupilate them or...?  [:S]

    If you're using this for personal use, not business, you can apply for a home user license which includes more functionality; see http://my.astaro.com


    Well, I'm testing this in a small SMB environment with intention to go Pro, so home is not my thing unless it solves this problem [8-)]

    Does this home license work with virtual appliance? IIUIC, it is for Software Appliance(?) My virtual ASG is about 100 miles away and I'm a little bit reluctant to the idea to jump in a car and drive back and forth if anything goes wrong [H]

    I don't need Proxies, but packet filtering makes my day.

    Thanks again!

    Miro
  • 0 in reply to BAlfson
    Hi Bob,

    If you need more help, show us lines from the full (not the live) packet filter log where the traffic is dropped.


    Here's a part from packetfilter.log file where you can see the lines with dropped port (3299).

    Is that what you were asking for? Do you need any other information?

    Thanks,

    Miro
  • 0
    The port-3299 blocks show dropped packets with a destination IP of what I assume is the IP of "External (Address)".  I guess you want a NAT rule like 'Internet -> {port-3299 service} -> External (Address) : DNAT to {internal IP of target device}'.  Leave 'Destination service' blank whenever you aren't changing it, and select 'Automatic packet filter rule'.

    There's also a port-53 request blocked, indicating you haven't yet configured DNS.  Here's a post that might help you: DNS Best Practice.

    The blocks of packets leaving your LAN for the internet indicate you might need a packet filter allow rule to allow (I'm guessing) PPTP.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    The essentials licence shows a lot of things as being active but greyed out and when you try to access them for configuration the licence message appears.

    I use the essentials at work while waiting for a suitable opportunity to request an upgrade to the basic security package. Works well, easier to configure than the comparable functions in a cisco which is the work preferred equipment.

    Ian M
  • 0 in reply to BAlfson
    Thank you Bob, that did the trick!
     
     
    The port-3299 blocks show dropped packets with a destination IP  of what I assume is the IP of "External (Address)".  I guess you want a  NAT rule like 'Internet -> {port-3299 service} -> External  (Address) : DNAT to {internal IP of target device}'.  Leave 'Destination  service' blank whenever you aren't changing it, and select 'Automatic  packet filter rule'.
    I completely forgot about NAT! [:$]
     
     
    There's also a port-53 request blocked, indicating you haven't yet configured DNS.  Here's a post that might help you: DNS Best Practice.
    That was because the secondary DNS server address on clients in private network was set to ASG's address. Solved that.
     
     
    The blocks of packets leaving your LAN for the internet indicate  you might need a packet filter allow rule to allow (I'm guessing)  PPTP.
    Solved that too.
     
     So, what I did:
     
     [EDIT]
     As Bob suggested, there's no need for PF rule, just enable 'Auto packet filter' in DNAT rule (thanks again Bob!)
     
     [OBSOLETE]1. New packet filter rule: Internet IPv4 → {port-3299 service}    → External WAN (Address); activated it;[/OBSOLETE]
     2. New DNAT rule: Internet IPv4 → {port-3299 service} → External (WAN) (Address), with 'Destination' {destination IP adress of my client PC} and empty 'Destination service'; activated it.
     
     Now I'm a bit closer to the Pro version [H]
     
     Thanks, Bob!
  • 0 in reply to RFCat_vk_01
    Hi Ian,

    I use the essentials at work while waiting for a suitable opportunity to request an upgrade to the basic security package. Works well, easier to configure than the comparable functions in a cisco which is the work preferred equipment.


    I totally agree with you - this is the most easy to install and administer security package I've encountered by now.

    Cheers, Miro
  • 0
    Miro, your PF rule Internet IPv4 → {port-3299 service} → External WAN (Address) has no effect as it addresses traffic arriving at the Astaro instead of traffic passing through it.

    If you selected 'Auto packet filter' in the DNAT, you don't need a PF rule.  If you hadn't selected it, you would need a rule like Internet IPv4 → {port-3299 service} → {destination IP adress of my client PC} : Allow.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?