Why doesn't Astaro stop traffic after

[ QUOTE ]
I disable all filters, NAT, HTTP proxies. The only proxy left is the POP3 one.
My son plays these games that I want to control access to by the clock.
I have built a filter that drops all tcp/udp with his PC as the source, but it has no effect. Today I disabled all filters, NAT and proxies except POP3 and left the Astaro V6.002 in that state for 30 minutes and the traffic continued unabated.
You can't start new sessions and I can't even get my open sessions to work with the filters disabled, but his b******d games keep going on regardless. I even disconnected his cable for a short while to see if the sessions would drop.


Ian M [:)] 

[/ QUOTE ]
you have to disable all packet filter rules.  There is still a rule open i bet.  Or youhave another router in your network he is able to get to.  What is your current network setup and what are your current packet filter/nat/proxy setup?  Astaro by default drops all traffic so it has to be told to allow it.

William,
my network consists of a Netgear DG834G ADSL (512/128)modem/router/wireless -> Astaro V6.002 -> internal network. Some users on the network are combined using a couple of ether switches to reduce the number of cables running around the house.
My filter are -  1 providing 24 hour access internal - any any
- 5 time managed filters with a defined group of users by IP - any any
I disabled all filters

I have 1 NAT rule internal to external Masq.
The NAT rule was disabled.

I have a numberof HTTP proxy rules, 1 specified against a group od users for 24 hr access by IP in definitions and 4 time managed against another group of users.
They were disabled.

The only Proxy open was the POP3, my e-mail confirmed that it was working.

From my PC I could not originate or continue with a WWW connection even existing ones.

Lost for ideas. This same PC has the same problem with the Netgear router, only some of the time managed functions work. The user cannot start new sessions, just the old ones are not stopped. The user is now on another motherbaord with different LAN cards.

Ian M [:)]

Hi,

wonder what arts/IT is??

Chris

arts/IT course - major in History (arts), minor in IT (arts).

ian M [:)]

State of play.
Ports in use are 1028 and 1058.
I have deleted the filter rules and the NAT rule, traffic continued unabated. Tracking table show connections.
I re-created the filter rules and the NAT rule before the next step. Filter blocking traffic between 1100 and 1600 has no affect on those ports.
Somebody sugested that the HTTP proxy might be allowing it through. Changed all HTTP proxy settings, removed allowed networks, put authentication required then disabled each part of the proxy before disabling HTTP proxy - no affect.
So I disabled the POP3 and the DNS Proxies, again removing any configuration - no affect. tracking table shows connections.

Disabled all proxies, the only parts going are filter, NAT, UP2Date and accounting. Connections still going.

Just tried rejecting rather than dropping packets, no affect.

How long do I have to wait before a filter has any affect on the networks?

Ian M [:)]

I killed the NAT and the connections finally dropped. But the NAT is not time managed so that only proves it can drop connections, but not using the time function in filters.

Ian M [:)]

Just to clarify, if he disconnects from the game then tries to reconnect it won't let him?

But it won't disconnect him while he is connected?

[ QUOTE ]
How long do I have to wait before a filter has any affect on the networks?

[/ QUOTE ]

Seems to take 2-3 minutes on my PIII. Much faster on the Dual Athlon [:P]
I don't know about existing connections though.

Barry

Biffa, BarryG,
The firewall stops new connections not a problem. I have tried that and also my sons complain when I shift a time slot and they can't access the games sites. "Shows blocked by Astaro" which is excellent.

But, does not stop existing connections.

Ian M [:)]

Sounds like a bug to me... Perhaps you should also email support?

Barry

Thanks, will do

Ian M [:)]

Took your advice and e-mailed support. They have been able to reproduce the problem and have handed it to the developers for resolution.

Ian M [:)]

Took your advice and e-mailed support. They have been able to reproduce the problem and have handed it to the developers for resolution.

Ian M [:)]

[ QUOTE ]
Took your advice and e-mailed support. They have been able to reproduce the problem and have handed it to the developers for resolution.

Ian M [:)] 

[/ QUOTE ]
wow..that's an amazing bug.  Nice job tracking it down..

William,
I have a similar bug outstanding with Netgear and until a month ago I was the only person the wqorld thast had reported it, so it wasn't going to get fixed.

When I explained it to a couple of users who were having access problems they couldn't identify, suddenly a few more people had the problem.

I expect Astaro has a different approach to bugs like this and hopefully it wil be fixed in the next minor release. In the mean time it will be timed power outages for his connection of about 15 minute duration.

Thank you for all your help
Ian M [:)]

FWIW, repeated power outages are very likely to kill his OS.

Power-cycling the hub/switch or something else would be much safer.

Barry

I don't control his bedroom without disconnecting half the house, no, it is the printer server/etherswitch that gets powered off/on.

Ian M [:)]

Any solution to this problem?
I dug up this old post as i am having a similar issue blocking my sons games.
I have a rule to block all services/ all tcp/udp ports with no luck.(tried drop and reject)
It blocks web traffic(IExplorer) but allows existing game traffic to continue.
If I shutdown game I cannot restart a new game,or If I disable and then re-enable filter rule It shuts down within seconds,but will not block existing game connection.

First question
What version of Astaro are you running.

This issue was resolved in an early release of V6. It drops all connections that are time managed.

1/. create a definitions for all the PCs on your network. 
2/. create time definitions that do not over lap. 
3/. create filter rules that only allow your son to use the internet and are time managed. 
4/. create filter rules that only allow your other PCs to use
5/. create a catergories that are time managed in the HTTP proxy that use you son's PC definition
6/. create catergory in the HTTP proxy that only allow the other PCs on the network access www
7/. remove all general access rules.

To force the proxy use on all my PCs, I used the tcp_udp_local rule as the outward traffic rule. One for the restricted PC and one for the open PCs.

This a general description of how to setup up time managed access.

If you require more explicit details, pm me with your e-mail address and I will write them out in detail.

I am running astaro 6.303(6.302 until yesterday)
before I go into more detail i am using NAT/Masquerading  and I seem to remember reading that the packet filter operation happens before NAT/Masquerading  ,so my first question would be is this where I am running into problems?

OK now i have a rule=  Internal (network)-any-any-allow.....to allow internal traffic out.
above this rule i have a rule=(sons ip)-any-any-drop at a specific time
from what I read in your response I should not try to block at specific times, but only allow outbound traffic at specific times?

So I should allow my desktop out at all times but only allow my sons ip out when I want him to be able to play?

Sorry but I am an amateur at this and I am trying to learn from scratch.
I thank you for your quick response.
I will say I love Astaro so far, And other than this problem it has been great.

As far as the http proxy I have disabled for now for testing purposes.

I started with Astaro about 14 months ago for the same reason. It has taken that long to learn how to get this thing working properly without many errors. It does work and it works very well, but you must get the relationships correct.

I will write the way I did it in detail for you. You appear to have taken a simple approach to the problem where it really requires a lot of logical thinking in how rules work together.

NAT is not the issue, it is all about rules and what and who can do what in the rules and order of precedence. I do recommend the proxy though because that gives you virus scanning on HTTP pages as well as site access management.

But give me a day or two, because tomorrow I need to rebuild this thing back to v6.302.

Ian M

Very good, look forward to your "tutorial"
Thanks a bunch
KA