Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 3 subscribers
  • Views 2450 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WallWatcher 3.2.26

Jazzie_01
Hi all!

WallWatcher just came out with a new version that has an entry for Astaro! Works rather well with Syslog traffic...

 http://www.sonic.net/wallwatcher/ 

For those of you who have it allready, here are the changes :
 [ QUOTE ]
New / Updated Router Support: 
new:
3Com SuperStack 3
Astaro 6.1 (same as IPTables)
Asus WL-500G (same as IPTables)
Edge-Core VR-50 (same as Linksys RV-series)
OpenBSD Personal Firewall (software firewall; may require user-supplied interface or conduit)
pfSense (software firewall; only seems to report "allowed outbound" and "blocked inbound" events)
Squid (software firewall; only seems to report "allowed outbound" events))
Symantec SGS-460
Watchguard Firebox FX50 (it does not seem to report "allowed outbound" events)
changed:
Linksys RV-series - additional record types, more information on why packets were blocked
Fixed:
IPTables-style routers, including Linksys WRT54G: didn't identify "igmp" protocol in some cases
New Features: 
WW - email notices can be sent on any user-specified port.  The default still is 25.
WW2DShield will use whatever port is specified for WW  

[/ QUOTE ] 

Regards
Jazzie


This thread was automatically locked due to age.
Parents
  • 0
    I have let it run for a while, changed the trap from 1 through 4 and they all work, but all I get is the detailed bandwidth display, no other traffic.
    I enabled snmp in the firewall, that most definitely helps.

    If all I get is the bandwidth stats, it isn't worth the effort of running it.

    Ian M [:)]
  • 0 in reply to RFCat_vk_01
    HI all!

    I don't use SNMP in my setup. Just syslog! I get both inbound and ourbound traffic, allowed or blocked! Sometimes, you have to change the interface settings! ie: eht0 for LAN--eth1 for WAN or the other way around. If you have problems running it, try the Smoothwall settings and change the fw ip. Or, just use the generic syslog option.. It runs perfect with me... Is there a reason why you don't want to use 'syslog traffic'?? There is an option to enable that in the 'System_Remote Syslog' Here is normally the settings to put there: Packet filter--Logging subsystem--------. After that is enabled (Remote Syslog) you get all inbound and outbound traffic--blocked/unblocked... As far as bandwidth, for some reason , when Astaro is selected, the option for bandwidth logging is 'greyed out'. To go around that, I used the Smoothwall settings. I have to ask Dan (author of WW) why it isn't enabled for Astaro... 

    Regards
    Jazzie
  • 0 in reply to Jazzie_01
    Thank you. I have learnt some more about the firewall. As soon as I enabled syslog, stats started arriving.

    Thank you
    Ian M [:)]
  • 0 in reply to RFCat_vk_01
     [ QUOTE ]
     Thank you. I have learnt some more about the firewall. As soon as I enabled syslog, stats started arriving.
     

    [/ QUOTE ] 

    Glad you got it going! It is a good monitoring tool, especially when you 'analyze the logs', to see the hits on the fw. I you can also resolve the ip's to see who is knocking!!! I optionally created some deny rules to drop silently Blaster (135), Netbios (137) and Sasser (445)  without logging. Get's rid of the inet noise....

    Regards
    Jazzie
  • 0 in reply to Jazzie_01
    I just blew that stuff away on the inside of the firewall and dropped my filters by over half. I have 2 networked printers.

    The trouble with the www side is they come un nat'ed.

    Ian M [:)]
  • 0 in reply to RFCat_vk_01
    WW only provides graphs for intrusion attempts, I thought with all that data it would provide a lot more.

    Basically it isn't much value as a reporting tool after a week or 2 other than it provides a condensed report of a number of Astaro files.

    Ian M [:)]
  • 0 in reply to RFCat_vk_01
    First of all! Happy B-day!!! Second, you are right that is all it is there for. To show intrusion attempts before the fw. Even though Astaro provides that same info in the Var/log dir, WW does a little more to show it broken down by attempts and what not. All and all a good, free tool. Better than paying some un-godly amount of money for some management tool that shows a little more info, but doesn't pay for it's self....

    Regards
    Jazzie
  • 0 in reply to Jazzie_01
    Thank you for the birthday wishes.

    I was probably a little harsh in my critisism of WW. The log report is actually quite useful while debugging filters and proxies etc. It provides a very nice summary which you can't get out of Astaro.
    I won't discard it, just keep it for check on change of configuration.
    I fixed most of those intrusion attampts on my Netgear firewall by putting a stop everything filter on the incoming side, so I was aware of the amount of junk that hits the firewall. In theory, there shouldn't be a need to put a filter there except to reduce the junk in the filter report.

    There are a number of sites that keep sending the same packets to broadcast address 1.0.0.0, I wonder how easy it is to stop them?

    Ian M [:)]
Reply
  • 0 in reply to Jazzie_01
    Thank you for the birthday wishes.

    I was probably a little harsh in my critisism of WW. The log report is actually quite useful while debugging filters and proxies etc. It provides a very nice summary which you can't get out of Astaro.
    I won't discard it, just keep it for check on change of configuration.
    I fixed most of those intrusion attampts on my Netgear firewall by putting a stop everything filter on the incoming side, so I was aware of the amount of junk that hits the firewall. In theory, there shouldn't be a need to put a filter there except to reduce the junk in the filter report.

    There are a number of sites that keep sending the same packets to broadcast address 1.0.0.0, I wonder how easy it is to stop them?

    Ian M [:)]
Children
No Data