Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 2 subscribers
  • Views 4713 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Giving up !

wquatan
Hi,

It's a pitty, but I'll have to stop the implementation of ASL ! I really think it's a great security product but a lack of documented (screenshots) examples for common implementation of specific ports (programs) makes it unuseable for an ASL-newbee.

I managed to get some things working (like HTTP and ICQ) but Torrent,POP3 and others don't work at all (even after days .... of trying)

For Torrent I consulted several other posts and implemented them as described without success. In Azureus, the best I once could get was a BLUE-connection status

For POP3, I'm using a server with Multipop mail-collection, none of the connections succeed. In the mail-server I can see that the ASL-DNS resolves the all server-names but all connections fail.

In general, almost everything (except HTTP and ICQ) ends up as dropped (red) in the live-log as decribed in the post "Help ! Masquerading - Packet Filte"  (which is apparently dead now). In the life-log NOTHING is marked as REJECT (yellow) or ACCEPT (green)

Again, ASL seems a great product, once it gets setup.
A pitty !

Regards

Walter


This thread was automatically locked due to age.
Parents
  • 0
    I find the documentation pretty good.

    I have torrent working fine.  You don't need the POP3 proxy unless you want to use it.  It's totally optional, you can still pickup POP mail without it.

    If packets are being dropped then your filters or defintions are incorrect.
  • 0 in reply to Simon Shaw
    Hi Simon,

    Thank you for your reply.

    In the mail-server (which collects mail from multiple domains) the configuration (in conjunction with Wingate) had to be done (for every account) like this
    Server : Wingate-address
    User : Maildomainuser#maildomainserver
    Password : Maildomainuserpassword
    Wingate did the necessary to get the Maildomainuser and the maildomainserver extracted out of the userfield

    This seems not to work with ASL (of course with the ASL-address)

    Using
    Server : maildomainserver
    User : Maildomainuser
    Password : Maildomainuserpassword
    doesn't work either (as the connection doesn't go through ASL)

    I tried both of above with/without ASL-pop-proxy, always with same result in the mailserver : Winsock error 10060 : The connection timed out . In ASL the packets are DROPPED

    On the mailserver, I can do HTTP via ASL without any problems. Basic connectivity ok ?

    If there are any ideas .. glad to hear

    Thanks

    Walter
  • 0 in reply to wquatan
    Hiya.

    Could you sketch me the network in a quick text diagram?

    Where is the mailserver?  Inside your LAN? or Outside?  I assume you are picking the mail up from inside?  Please include IP addresses. (You can use fake ones as long as they show subnets being used).

    do me a sketch like this:

    INTERNET
    |
    ASL
    |

    Etc etc...
  • 0 in reply to Simon Shaw
    Hi,

    The sketch :

    IPS Mail-servers
    |  |  |  |
    ----------------------------INTERNET
    |
    ROUTER
    |
    ASL
    |
    --------------------------------LAN
    |                                   |
    MyMAILSERVER  WORKSTATIONS

    MyMAILSERVER collects mail from the IPS mail-servers
    Workstations Collect mail from MyMAILSERVER (directly)

    Kind regards and thanks

    Walter
  • 0 in reply to wquatan
    To make sure that I understand your configuration:

    You’re using ASL with two network cards:

    eth0 internal
    eth1 external

    If you are using POP3 Proxy, you do not need additional rules. Just configure the “Proxied  Networks” like this:

    Source: MyMailserver  Destination: Any

    If you are not using POP3 Proxy, you have to add SNAT rules.

    It would help, if we could post the messages you got.
Reply
  • 0 in reply to wquatan
    To make sure that I understand your configuration:

    You’re using ASL with two network cards:

    eth0 internal
    eth1 external

    If you are using POP3 Proxy, you do not need additional rules. Just configure the “Proxied  Networks” like this:

    Source: MyMailserver  Destination: Any

    If you are not using POP3 Proxy, you have to add SNAT rules.

    It would help, if we could post the messages you got.
Children
  • 0 in reply to FN-Eagle
    Hi,

    Yes that works now !! (with POP3-proxy)

    It was the
    Source: MyMailserver Destination: Any

    I had
    Source: MyMailserver Destination: ExternalNetwork

    What the difference is, I don't understand. I have been using ExternalNetwork evrywere because I wanted to avoid the use of Any.

    I had a look at the SMTP-proxy. Should I do there a similar thing ?

    ___EDITED____________

    SMTP is working too. A little problem, some mail got transferred to the default SMTP-server specified in ASL. I wonder what happens with it

    Would it be possible to use several SMTP-servers ?

    ___EDITED____________

    Thanks again - I'v' got mail again since a couple of days :-)

    Walter
  • 0 in reply to wquatan
    ExternalNetwork means the network of your external interface.. so if your public ip was say 192.168.100.129/24, then the external network would be 192.168.100.0/24.. so you only allow access to that network by using that definition.
  • 0 in reply to ReD-MaN
    Glad that;s sorted.

    For future reference, draw a diagram on a piece of paper and label interfaces so you can visualise what you are trying to do a bit better.  Always find that helps.
  • 0 in reply to ReD-MaN
    Hi Red Man,

    Related to the POP3-problem, I don't understand why
    Source: MyMailserver Destination: Any 
    works, and 
    Source: MyMailserver Destination: ExternalNetwork
    not.

    By defining ExternalNetwork as destination, I had in mind that then only the interface of ExternalNetwork would be used. I assume I'm wrong if I say that Any has a larger scope than ExternalNetwork, so in theory the connection could been made via another routing.

    I think I'm confused about these definitions, especially related to Any, and that I can avoid a lot of problems by understanding the detailed differnce between them

    I would be grateful if someone could explain or point me to an in-depth explanation.

    In the meanwhile I would like to thank all who contributed !

    Walter
  • 0 in reply to wquatan
    Those are interface rules; Astaro does not follow that covention.

    Astaro does its rules based on IP source/destination. It precludes spoofing on any of the interfaces for networks it is directly connected to.

    They are two conventions in the firewall industry. Which is "better" all comes down to how you like to think about the problem (maybe someday they will offer it as an option? there has been some existential discussions about it on other old posts...).
  • 0 in reply to SecApp
    Hi SecApp,

    Thanks for the explanation. Now I understand where I made the reasoning error and explains why nothing I configured worked.

    To understand that was my goal, not starting again a convention-discussion.

    Thanks for helping

    Walter
Cookie Information Banner