Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 3 subscribers
  • Views 816 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Bug in packet filter rule creation?

markcc
I have been trying to get to the bottom of this for a while. I am using 2.0.30.

I have two rules setup (out of 75 in total)

1.
from: DMZ 
service: Remote Admin
to: Any

2.
from: Any 
service: Remote Admin
to: DMZ

Where the Remote Admin service is 
Protocol: Any
S-Port: 1024:65535
D-Port: 4899

When I enable the above 2 rules (in amongst about 75 other rules), it seems to create a dud iptables config.

A diff between 'iptables -L' run before and afterwards has about 20 extra rules - some going to IP's or names which are not even configured on the box. These extra rules turn up in the forward chain, the most scary of which is 2 matching all-anywhere rules into our DMZ.

If anyone has any ideas, or would like a look at the iptables output or anything else on the firewall any help would be appreciated.

-Mark


This thread was automatically locked due to age.
Parents
  • 0
    Do you mind if I ask why you have so many rules. Can any be consolidated. In the nimerous Checkpoint, Cisco and ASL boxes I have setup I have never needed that many rules.
  • 0 in reply to lanman
    After a tidyup I have the count down to about 50, unfortunatly we have a lot of clients we need to connect to. Which means lotsa rules to different IP's and ports.

    When I get some more time I am going to look into what is creating these strange rules again.  I cannot see any obvious way they are getting corrupted between the web interface and iptables.

    -Mark
Reply
  • 0 in reply to lanman
    After a tidyup I have the count down to about 50, unfortunatly we have a lot of clients we need to connect to. Which means lotsa rules to different IP's and ports.

    When I get some more time I am going to look into what is creating these strange rules again.  I cannot see any obvious way they are getting corrupted between the web interface and iptables.

    -Mark
Children
  • 0 in reply to markcc
    markcc,

    I think the "not configured" entries can be found in the FIX_CONNTRACK chain.
    After applying changes to the packet filter the middleware checks the connection tracking table
    for allowed connections (kernels point of view)which have to be cut off according to the new rules.

    read you
    o|iver
     
     [size="1"][ 15 October 2002, 03:07: Message edited by: oliver.desch ][/size]