Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 3 subscribers
  • Views 2541 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

How do I get my firewall working

Magnus Jonsson
As a new user of the Astaro firewall I’ve installed it according to the manual. I’ve then followed the configuration steps 9-14. The steps I took was:

Definitions
  Networks
    Adding MJ_Lan IP 192.168.120.0 Subnet mask 255.255.255.0

Network
  Interfaces
    Making sure that network card etho is 192.168.120.0, mask 255.255.255.0
    Editing network card eth1 to IP address i.e. 217.215.13.27 mask 255.255.255.0

Packet Filter
  Rules
    Added 3 rules such as:
      From      Service    To 
      MJ_Lan    Any        Any
      Any       Any        MJ_Lan
      Any       Any        Any

Proxies 
  DNS
    Enable
      Added two nameservers (i.e. 194.236.29.2 and 194.236.29.3)
      Interfaces to listen to : Added Extern
      Allowed networks : Added Any

Even though I’m a newbie to all this I can understand that my protection with these settings is low. However I still can’t get out from through the firewall. Any HTTP access as well as ping results in no success. What am I doing wrong ? I’d appreciate any assistance that would get me going and improve my settings.
Thanks in advance,


Settings given to me from ISP
IP:      217.215.13.27
Submask: 255.255.255.0
Gateway: 217.215.13.1
DNS:     194.236.29.2 and 194.236.29.3

Own computer set to:
IP:      192.168.120.10
Submask: 255.255.255.0
Gateway: 192.168.120.0
DNS:     192.168.120.0


  [:S]


This thread was automatically locked due to age.
  • 0
    hi magnus,

    a few errors in your config:

     
    quote:

    Making sure that network card etho is 192.168.120.0, mask 255.255.255.0


    must be 192.168.120.1, mask is ok

     
    quote:

    DNS
    Enable
    Added two nameservers (i.e. 194.236.29.2 and 194.236.29.3)
    Interfaces to listen to : Added Extern
    Allowed networks : Added Any


    ooops ! please make ist listen on "Internal" interface only and allow only the LAN.

     
    quote:

    Own computer set to:
    IP: 192.168.120.10
    Submask: 255.255.255.0
    Gateway: 192.168.120.0
    DNS: 192.168.120.0


    use 192.168.120.1 instead for the last 2 setting (see above).

     
    quote:

    However I still can’t get out from through the firewall. Any HTTP access as well as ping results in no success. What am I doing wrong ? I’d appreciate any assistance that would get me going and improve my settings.


    You must enable masquerading. Go to Network->Masquerading and masq. the LAN on the external interface.

     
    quote:

    Added 3 rules such as:
    From Service To 
    MJ_Lan Any Any
    Any Any MJ_Lan
    Any Any Any


    "MJ_Lan Any Any" should be enough for basic non-paranoid security.

    /tom
  • 0 in reply to tom_01
    Thanks Tom !     

    I reinstalled the ASL and set IP 192.168.1 on eth0. I applied all my previous settings with your suggested changes as well…. but still no luck.
    I still can’t get through the ASL onto the net. Is there anything more that I should do ?   [:S] 

    Thanks,
  • 0 in reply to Magnus Jonsson
    Magnus,

    You didn't mention anything about client settings, so I just thought, did you make sure on your client machine you set the correct default gateway (it should be the IP of your internal NIC, 192.168.120.1)?

    Maurice
  • 0 in reply to Maurice
    Hi,

    HTTP:

    Proxy Settings (Transparent-Mode) ?
    Proxy Settings Browser (Port) ?


    ICMP (ping):

    ICMP Forwarding ENABLED ?

    Claus
  • 0 in reply to ClausP
    Thanks Claus and Maurice for answering.  [:)] 

    I’ll try to conclude my settings here:
        
    I’ve created one network group called MJ_Lan with IP 192.168.120.0 Mask 255.255.255.0
    The default gateway is set to the gateway IP given to me by my ISP, which is 217.215.13.1
    The etho card is set to 192.168.120.1 with mask 255.255.255.0
    The etho1 card is set to the IP given to me by my ISP 217.215.13.27  with mask 255.255.255.0

    This leads to a routing table looking like
    IP Gateway Genmask Interface
    192.168.120.0 0.0.0.0 255.255.255.0 eth0
    217.215.13.0 0.0.0.0 255.255.255.0 eth1
    0.0.0.0 217.215.13.1 0.0.0.0 eth1

    Masqueading is set to MJ_Lan -> Extern
    There is one rule enabled which is (From client) MJ_Lan using (Service) Any to (Server) Any 

    ICMP on firewall is enabled
    ICMP forwarding is disabled

    To proxies are enabled (i.e. no HTTP, no SMTP and no SOCKS) except DNS proxy which is set to the two DNS servers given to me by my ISP (which in this case are 194.236.29.2 and 194.236.29.3) and setup to listen on extern interfaces with allowed networks MJ_Lan


    On my first (and at this time only) client machine the settings are
    IP: 192.168.120.10
    Mask: 255.255.255.0
    Default gateway: 192.168.120.1
    Preferred DNS: 192.168.120.1
    Alternate DNS: Not set

    I hope you have the time and patience to help me out !

    Thanks in advance,
  • 0 in reply to Magnus Jonsson
    Magnus, your setup looks correct and I see no reason why you shouldn't be able to get any outbound connection.

    Just a few checkups: what type of connection are you using (permanent, DSL)? Are your physical connections (cables etc.) correct? Did you made sure you didn't cross the cables between the 2 NICs? Did you try to check for a faulty cable? Is your firewall connected to a router through a hub or direct? If direct, it may require a crossover cable.

    I am just trying to think loudly for every possible scenario, since your setup looks ok. Maybe you should consider re-installing from clean. Sometimes, I get messed up with things that I shut down everything, disconnect every cable and start a clean setup, as new, and it works for me.

    Good luck
    Maurice
  • 0 in reply to Maurice
    Hi Maurice,

    Thank you for some good ideas.

    What I’m trying to achieve is this scenario
    ADSL modem-----ASL-----Hub-----Client

    The version without ASL works perfectly
    ADSL modem-----Client

    and also communicating with
    ASL-----client
    |
    \
     -------client


    As you understand I use an ADSL hookup with permanent IP. But I assume you’re right; I’ve just have to reinstall everything again (for the fifth time) just to make sure.
      [:)]
  • 0 in reply to Magnus Jonsson
    The setting is looking fine,but can you ping Internet IP on ASL system (like ping 211.x.x.x)? Can you ping the gataway that your ISP give to you? 
    I read the routing table is fine. I can't think out what other reason will cause you can not access internet.  
  • 0 in reply to iMyWay
    Try enabling the proxy server and configure the IP on the browsers of the client with the Astaro IP and port 8080, or u can configure transperant proxy.

    tell me if this suggestion is wrong.

    All the bet
    Ravikiran
Unfiltered HTML