Why doesn't Astaro stop traffic after

[ QUOTE ]
I disable all filters, NAT, HTTP proxies. The only proxy left is the POP3 one.
My son plays these games that I want to control access to by the clock.
I have built a filter that drops all tcp/udp with his PC as the source, but it has no effect. Today I disabled all filters, NAT and proxies except POP3 and left the Astaro V6.002 in that state for 30 minutes and the traffic continued unabated.
You can't start new sessions and I can't even get my open sessions to work with the filters disabled, but his b******d games keep going on regardless. I even disconnected his cable for a short while to see if the sessions would drop.


Ian M [:)] 

[/ QUOTE ]
you have to disable all packet filter rules.  There is still a rule open i bet.  Or youhave another router in your network he is able to get to.  What is your current network setup and what are your current packet filter/nat/proxy setup?  Astaro by default drops all traffic so it has to be told to allow it.

William,
my network consists of a Netgear DG834G ADSL (512/128)modem/router/wireless -> Astaro V6.002 -> internal network. Some users on the network are combined using a couple of ether switches to reduce the number of cables running around the house.
My filter are -  1 providing 24 hour access internal - any any
- 5 time managed filters with a defined group of users by IP - any any
I disabled all filters

I have 1 NAT rule internal to external Masq.
The NAT rule was disabled.

I have a numberof HTTP proxy rules, 1 specified against a group od users for 24 hr access by IP in definitions and 4 time managed against another group of users.
They were disabled.

The only Proxy open was the POP3, my e-mail confirmed that it was working.

From my PC I could not originate or continue with a WWW connection even existing ones.

Lost for ideas. This same PC has the same problem with the Netgear router, only some of the time managed functions work. The user cannot start new sessions, just the old ones are not stopped. The user is now on another motherbaord with different LAN cards.

Ian M [:)]

Gert,
I have just re-installed V6.001 (V6.002 update not available). Completely started from scratch with the configuration and tried a different approach this time.

Filter rules
1/. Always - My PC - any - any - accept - log
2/. 1646-2200 - internal network  -> any - any - drop - log
had absolutely no affect what so ever on the games, but because I had my PC filter below it, my connection failed. Moved my connection to the top and I was able to re-connect to this site.
3/. 0001-0645 - internal network - any - any - drop - log
4/. 0646-1100 - internal network - any -any - accept - log
5/.
6/. 1646-2359 -  internal netwrok - any -any -accept - log
You will note there is no 5/. at this stage because I want to see what happens when there is no filter. I suspect I know from what I have seen tonight that traffic will continue.


Rule 2/. has been deleted as that experiment did not work.

I have a POP3 proxy going and a HTTP Proxy but only for my PC.

This problem was apparent on 2 PCs tonight.

Ian M [:)]

What games are we talking about? Web-based or not?

Do you have the SOCKS proxy On or Off?

Barry

Barry and others,
worldofwarcraft and a number of other I can't think of at the moment and they are all web based.
I have the socks proxy off.

I was wondering/thinking (dangerous stuff) if my NIC cards are not assigned interupts according to Astaro could this be the cause? They are all allocated one in BIOS, but during build one card always misses out and is never correctly identified. If I re-arrange the cards a different one misses out.

I was considering a re-build with only 2 NICs.

Ian M [:)]

you have something setup wrong in your settings..this is not a hardware issue.  If you are confortable make a backup file and send to me and i can load it up here and see what i can find.

William,
thank you for the offer, I will let it stand for a couple of days while this new build/configuration settles in. Both NICs have been identified and allocated an interrupt within the Astaro.

I have taken a different approach again to this configuration. I don't believe I had ambiguities in the previous setup, but I think this is even clearer.
I am not sure whether to use the DNS and HTTP proxies as that means they aren't managed by the filter rules. The HTTP proxy has its own time management. If the DNS proxy is used it allows requests through for DNS queries but the connection request for the resultant answer is denied connection in the filter rule so effectively you would get a DNS storm for repeated requests I think.

I have another thread to which no-one has responded to about 2 addresses being assigned to the WWW interface card on the Astaro box. This morning I re-built/installed Astaro V6.001 with only 2 NICs and there is only one address assigned to the WWW interface NIC. 

Ian M [:)]

[ QUOTE ]
Barry and others,
worldofwarcraft and a number of other I can't think of at the moment and they are all web based.
I have the socks proxy off.

[/ QUOTE ]

If they're web based, then they could be getting out through the http proxy. Do you have it logging?

Is WOW web based??
(HTTP)

Barry

[ QUOTE ]
[ QUOTE ]
Barry and others,
worldofwarcraft and a number of other I can't think of at the moment and they are all web based.
I have the socks proxy off.

[/ QUOTE ]

If they're web based, then they could be getting out through the http proxy. Do you have it logging?

Is WOW web based??
(HTTP)

Barry 

[/ QUOTE ]
wow uses TCP Port number 3724

WoW -- World of Warcraft... very addictive... but it requires loaded software.

One thing you may want to check... see if your son has Hopster loaded on the computer.  sorry i don't have data infront of me on it but that was a problem at a few schools around here.

Hopster basically points anything internet related on your box to itself & uses hopster as a proxy that connects to other servers via an encrypted link

Pyro411,
I was wondering about the HtTP proxy, I have WOW blacklisted along with some of its other sites, but it doesn't seem to have any affect. I do have another cheaper router that will block it, but it isn't reliable.

Today is the big test. The router has had time to learn things. I think it worked last night, because my wife wasn't complaining about him still playing games when she came to bed.
This is my third configuration and I am still open to suggestions on the HTTP proxy, you get spyware blocking, but no actual way of stopping the proxy from passing traffic that is apparent to my limited knowledge.

Ian M [:)]

[ QUOTE ]
Pyro411,
I was wondering about the HtTP proxy, I have WOW blacklisted along with some of its other sites, but it doesn't seem to have any affect. I do have another cheaper router that will block it, but it isn't reliable.

Today is the big test. The router has had time to learn things. I think it worked last night, because my wife wasn't complaining about him still playing games when she came to bed.
This is my third configuration and I am still open to suggestions on the HTTP proxy, you get spyware blocking, but no actual way of stopping the proxy from passing traffic that is apparent to my limited knowledge.

Ian M [:)] 

[/ QUOTE ]
Don't take this the wrong way..but don't let technology sub for your watching.  If needed instead of messing with asl and a router..just remove his network cable and his power cords. If he goes and replaces them..remove the hard drive or the entire computer(both of htose option are highly effective..i ahve used them here..)

[ QUOTE ]
Pyro411,
I was wondering about the HtTP proxy, I have WOW blacklisted along with some of its other sites, but it doesn't seem to have any affect. I do have another cheaper router that will block it, but it isn't reliable.

Today is the big test. The router has had time to learn things. I think it worked last night, because my wife wasn't complaining about him still playing games when she came to bed.
This is my third configuration and I am still open to suggestions on the HTTP proxy, you get spyware blocking, but no actual way of stopping the proxy from passing traffic that is apparent to my limited knowledge.

Ian M [:)] 

[/ QUOTE ]
Don't take this the wrong way..but don't let technology sub for your watching.  If needed instead of messing with asl and a router..just remove his network cable and his power cords. If he goes and replaces them..remove the hard drive or the entire computer(both of htose option are highly effective..i ahve used them here..)

William,
I uderstand you fully and my wife is advocating just such actions. I have contemplated putting a time switch on the network.
The computer is in his bedroom and actually belongs to him and he does need it for study. I have removed cables before, but he has replaced them. We are talking about a 25 year old who is addicted to his games and not putting anywhere sufficient time into his medical studies, this is his 3rd repeat of 5th year.

I really need to be able to manage the network, because the other son and wife both use it until the early hours. Number 2 son is in3rd year of an arts/IT course. Wife likes to join forums for real time discussions with the US and UK members.
When they leave home i go back to a simpler network I hope. Firewall and one hub for networked printers and linux server.

Ian M [:)]

[ QUOTE ]
William,
I uderstand you fully and my wife is advocating just such actions. I have contemplated putting a time switch on the network.
The computer is in his bedroom and actually belongs to him and he does need it for study. I have removed cables before, but he has replaced them. We are talking about a 25 year old who is addicted to his games and not putting anywhere sufficient time into his medical studies, this is his 3rd repeat of 5th year.

I really need to be able to manage the network, because the other son and wife both use it until the early hours. Number 2 son is in3rd year of an arts/IT course. Wife likes to join forums for real time discussions with the US and UK members.
When they leave home i go back to a simpler network I hope. Firewall and one hub for networked printers and linux server.

Ian M [:)] 

[/ QUOTE ]
fi he haw replaced them..remove the tower itself when he is not supposed tob e studying.  he's 25..tome for him to learn.  if he refuses at that point..well we'll take this off forums for that one..[:)]

Hi,

wonder what arts/IT is??

Chris

arts/IT course - major in History (arts), minor in IT (arts).

ian M [:)]

State of play.
Ports in use are 1028 and 1058.
I have deleted the filter rules and the NAT rule, traffic continued unabated. Tracking table show connections.
I re-created the filter rules and the NAT rule before the next step. Filter blocking traffic between 1100 and 1600 has no affect on those ports.
Somebody sugested that the HTTP proxy might be allowing it through. Changed all HTTP proxy settings, removed allowed networks, put authentication required then disabled each part of the proxy before disabling HTTP proxy - no affect.
So I disabled the POP3 and the DNS Proxies, again removing any configuration - no affect. tracking table shows connections.

Disabled all proxies, the only parts going are filter, NAT, UP2Date and accounting. Connections still going.

Just tried rejecting rather than dropping packets, no affect.

How long do I have to wait before a filter has any affect on the networks?

Ian M [:)]

I killed the NAT and the connections finally dropped. But the NAT is not time managed so that only proves it can drop connections, but not using the time function in filters.

Ian M [:)]

Just to clarify, if he disconnects from the game then tries to reconnect it won't let him?

But it won't disconnect him while he is connected?

[ QUOTE ]
How long do I have to wait before a filter has any affect on the networks?

[/ QUOTE ]

Seems to take 2-3 minutes on my PIII. Much faster on the Dual Athlon [:P]
I don't know about existing connections though.

Barry

Biffa, BarryG,
The firewall stops new connections not a problem. I have tried that and also my sons complain when I shift a time slot and they can't access the games sites. "Shows blocked by Astaro" which is excellent.

But, does not stop existing connections.

Ian M [:)]

Sounds like a bug to me... Perhaps you should also email support?

Barry