Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 3 subscribers
  • Views 876 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Can I create L7 rule in astaro?

amiz
Can I create L7 rule in astaro?


Can I create firewall rule according to L7 information?

For example I want to block all traffic with user name: XXX
Within ftp traffic.
This info is visible with normal sniffer but I was wondering if astaro can
Filter according to this info….


This thread was automatically locked due to age.
Parents
  • 0
    yes you can! Have a look at www.snort.org, get the rule documentation. Create a rule like

    Code:
    alert tcp $EXTERNAL_NET any -> $HOME_NET 21 (flow:established,to_server; content:"username_goes_here"; msg:"FTP access certain user attempt"; classtype:unwanted_persons; sid:3000015; rev:2; )


    import it in the IPS section finally set the action to drop.

    Greets
    o|iver
  • 0 in reply to cyclops
    Great!!!!!!

    Thanks, the snort is cool and very flexible……
    What I have been asked to do and accomplished with snort
    Is very interesting.
    Blocking msn messenger sessions if the user of the messenger is not
    In the allow list.
    I didn't want to just block messenger complexly but to create rules
    1) Users that have no msn access.
    2) Users that can talk only within the company
    3) Users that can talk with everybody.

    Thanks for the info
  • 0 in reply to amiz
    Amiz, I find what you've achieved with MSN very interesting for our organization. Can you give some details on how you achieved these 3 different levels of permissions?

    Thanx in advance
  • 0 in reply to Serafim

    Hi amiz,

    maybe you can post your snort rules right here so every interested user can see it? There are a lot of interested ones like me, I guess... ;-)

    Michael
Reply Children
  • 0 in reply to tuxi
    Here we go:

    Let's say we want this policy:
    192.168.0.0\255 = no msn
    192.168.1.0\255 = limited msn
    192.168.2.0\255 = msn open


    192.168.0.0 –

    #blocking msn web access

    MSN web access
    tcp 192.168.0.0/24 any -> any 80
    uricontent:"webmessenger.msn.com";

    #blocking msn msg on port 1863

    Chat msn incoming block
    tcp any 1863 -> 192.168.0.0/24 any
    flow:established; content:"MSG"; content:"Content-Type|3A|"; content:"text/plain"; nocase;

    192.168.1.0 –

    #blocking msn web access

    MSN web access
    tcp 192.168.1.0/24 any -> any 80
    uricontent:"webmessenger.msn.com";

    #allowing users\emails to talk on the network

    chat msn incoming  
    tcp any 1863 -> 192.168.1.0/24 any
    flow:established; content:"MSG"; content:"Content-Type|3A|"; content:"text/plain"; content:!"@compeny.com"; content:!"user_name"; nocase;

    192.168.2.0 –

    # No rules needed