Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 45 replies
  • Subscribers 3 subscribers
  • Views 21077 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Why doesn't Astaro stop traffic after

RFCat_vk_01
I disable all filters, NAT, HTTP proxies. The only proxy left is the POP3 one.
My son plays these games that I want to control access to by the clock.
I have built a filter that drops all tcp/udp with his PC as the source, but it has no effect. Today I disabled all filters, NAT and proxies except POP3 and left the Astaro V6.002 in that state for 30 minutes and the traffic continued unabated.
You can't start new sessions and I can't even get my open sessions to work with the filters disabled, but his b******d games keep going on regardless. I even disconnected his cable for a short while to see if the sessions would drop.


Ian M [:)]


This thread was automatically locked due to age.
  • 0
    [ QUOTE ]
    I disable all filters, NAT, HTTP proxies. The only proxy left is the POP3 one.
    My son plays these games that I want to control access to by the clock.
    I have built a filter that drops all tcp/udp with his PC as the source, but it has no effect. Today I disabled all filters, NAT and proxies except POP3 and left the Astaro V6.002 in that state for 30 minutes and the traffic continued unabated.
    You can't start new sessions and I can't even get my open sessions to work with the filters disabled, but his b******d games keep going on regardless. I even disconnected his cable for a short while to see if the sessions would drop.


    Ian M [:)] 

    [/ QUOTE ]
    you have to disable all packet filter rules.  There is still a rule open i bet.  Or youhave another router in your network he is able to get to.  What is your current network setup and what are your current packet filter/nat/proxy setup?  Astaro by default drops all traffic so it has to be told to allow it.
  • 0 in reply to William Warren
    William,
    my network consists of a Netgear DG834G ADSL (512/128)modem/router/wireless -> Astaro V6.002 -> internal network. Some users on the network are combined using a couple of ether switches to reduce the number of cables running around the house.
    My filter are -  1 providing 24 hour access internal - any any
    - 5 time managed filters with a defined group of users by IP - any any
    I disabled all filters

    I have 1 NAT rule internal to external Masq.
    The NAT rule was disabled.

    I have a numberof HTTP proxy rules, 1 specified against a group od users for 24 hr access by IP in definitions and 4 time managed against another group of users.
    They were disabled.

    The only Proxy open was the POP3, my e-mail confirmed that it was working.

    From my PC I could not originate or continue with a WWW connection even existing ones.

    Lost for ideas. This same PC has the same problem with the Netgear router, only some of the time managed functions work. The user cannot start new sessions, just the old ones are not stopped. The user is now on another motherbaord with different LAN cards.

    Ian M [:)]
  • 0 in reply to RFCat_vk_01
    [ QUOTE ]
    William,
    my network consists of a Netgear DG834G ADSL (512/128)modem/router/wireless -> Astaro V6.002 -> internal network. Some users on the network are combined using a couple of ether switches to reduce the number of cables running around the house.
    My filter are -  1 providing 24 hour access internal - any any
    - 5 time managed filters with a defined group of users by IP - any any
    I disabled all filters

    I have 1 NAT rule internal to external Masq.
    The NAT rule was disabled.

    I have a numberof HTTP proxy rules, 1 specified against a group od users for 24 hr access by IP in definitions and 4 time managed against another group of users.
    They were disabled.

    The only Proxy open was the POP3, my e-mail confirmed that it was working.

    From my PC I could not originate or continue with a WWW connection even existing ones.

    Lost for ideas. This same PC has the same problem with the Netgear router, only some of the time managed functions work. The user cannot start new sessions, just the old ones are not stopped. The user is now on another motherbaord with different LAN cards.

    Ian M [:)] 

    [/ QUOTE ]
    I bet the router is allowing the access.  I would do the following:
    put the router on it's own nic connected directly to the ASL via a crossover cable.  Put the Astaro connected directly to your isp.  Lock the router's access down using Astaro.  Astaro wil block everything by default so unless you specifically tell Astaro to alow the router access to anywhere anyone who connects to the router wil go nowhere in a hurry.
  • 0 in reply to William Warren
    William,
    I think you misunderstand me. The router is in series with the Astaro box. The routert is locked down, the only address allowed through the DG834G is the firewall , the users can not access the internet through the DG834G without going through the firewall (Astaro).
    The DG834G has kayword filtering enabled on a timebased rule (but only allows one rule) and I know that works. The reason I went with Astaro was because it allowed multiple time based rules and allowed me to track/plot user access.

    When I find users still accessing the internet even though all the rules say they shouldn't I get a bit concerned that there is a bug in the software.

    Ian M [:)]
  • 0 in reply to RFCat_vk_01
    [ QUOTE ]
    William,
    I think you misunderstand me. The router is in series with the Astaro box. The routert is locked down, the only address allowed through the DG834G is the firewall , the users can not access the internet through the DG834G without going through the firewall (Astaro).
    The DG834G has kayword filtering enabled on a timebased rule (but only allows one rule) and I know that works. The reason I went with Astaro was because it allowed multiple time based rules and allowed me to track/plot user access.

    When I find users still accessing the internet even though all the rules say they shouldn't I get a bit concerned that there is a bug in the software.

    Ian M [:)] 

    [/ QUOTE ]
    ok..make a backup of your configuration and then remove all timed access settings, packet filter rules, and NAT/Masq rules.  turn off all proxies and see what happens.
  • 0 in reply to William Warren
    William,
    I had to delete the NAT/Masq not disable it to stop the traffic.

    I also think there is a bug in the HTTP Proxy process. Even though all HTTP proxy entries have been deleted, the software thinks it still has one active even after a reboot. I had to re-create the HTTP proxy entry then delete it again and that got rid of it.

    But, I still can't stop traffic by schedule even with a filter rule that blocks everything by time for specified users. I have block rules on HTTP proxy as well, they  are ignored. Once a session is started Astaro does not cut it off.

    Ian M [:)]
  • 0 in reply to RFCat_vk_01
    [ QUOTE ]
    William,
    I had to delete the NAT/Masq not disable it to stop the traffic.

    I also think there is a bug in the HTTP Proxy process. Even though all HTTP proxy entries have been deleted, the software thinks it still has one active even after a reboot. I had to re-create the HTTP proxy entry then delete it again and that got rid of it.

    But, I still can't stop traffic by schedule even with a filter rule that blocks everything by time for specified users. I have block rules on HTTP proxy as well, they  are ignored. Once a session is started Astaro does not cut it off.

    Ian M [:)] 

    [/ QUOTE ]
    I am still not convinced there is an Astaro issue.  Make a config backup and then reset the astaro software to factory defaults.  The best way to do this is to reinstall IMO(others will highly disagree with me) and see if hte proboem persists.  I am willing to bet not.  Reimport your backup and see if the problem returns.  If it does it's your config..if it doesn't then it is most assuredly an Astaro problem.
  • 0 in reply to William Warren
    William,
    funny you should say that about a re-install, I can now do that quite quickly, done about 4 in the last 2 weeks. The problem seems to have got worse as I replace none approved NICs with approved NICs. (HCI).
    I thought using approved NICs might overcome some occassional performance issues.
    I changed the motherboard for an all-in-one which works a lot better and more reliably actually re-starts correctly, but only has one onboard NIC.
    I will do a re-buiild later today and re-configure from scratch.

    Ian M [:)]
  • 0 in reply to RFCat_vk_01
    Hi there all, 

    RFCat_vk, can you please briefly outline your packetfilter ruleset in the form:

    1 - Always - Internal Network - Any - Any - Accept
    2 - 4pm-6pm - Sons PC - Any - Any - Accept

    and so one.

    thx Gert
  • 0 in reply to Gert Hansen
    Gert,
    I have just re-installed V6.001 (V6.002 update not available). Completely started from scratch with the configuration and tried a different approach this time.

    Filter rules
    1/. Always - My PC - any - any - accept - log
    2/. 1646-2200 - internal network  -> any - any - drop - log
    had absolutely no affect what so ever on the games, but because I had my PC filter below it, my connection failed. Moved my connection to the top and I was able to re-connect to this site.
    3/. 0001-0645 - internal network - any - any - drop - log
    4/. 0646-1100 - internal network - any -any - accept - log
    5/.
    6/. 1646-2359 -  internal netwrok - any -any -accept - log
    You will note there is no 5/. at this stage because I want to see what happens when there is no filter. I suspect I know from what I have seen tonight that traffic will continue.


    Rule 2/. has been deleted as that experiment did not work.

    I have a POP3 proxy going and a HTTP Proxy but only for my PC.

    This problem was apparent on 2 PCs tonight.

    Ian M [:)]