Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 2 subscribers
  • Views 4724 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Giving up !

wquatan
Hi,

It's a pitty, but I'll have to stop the implementation of ASL ! I really think it's a great security product but a lack of documented (screenshots) examples for common implementation of specific ports (programs) makes it unuseable for an ASL-newbee.

I managed to get some things working (like HTTP and ICQ) but Torrent,POP3 and others don't work at all (even after days .... of trying)

For Torrent I consulted several other posts and implemented them as described without success. In Azureus, the best I once could get was a BLUE-connection status

For POP3, I'm using a server with Multipop mail-collection, none of the connections succeed. In the mail-server I can see that the ASL-DNS resolves the all server-names but all connections fail.

In general, almost everything (except HTTP and ICQ) ends up as dropped (red) in the live-log as decribed in the post "Help ! Masquerading - Packet Filte"  (which is apparently dead now). In the life-log NOTHING is marked as REJECT (yellow) or ACCEPT (green)

Again, ASL seems a great product, once it gets setup.
A pitty !

Regards

Walter


This thread was automatically locked due to age.
  • 0 in reply to ReD-MaN
    Hi Red Man,

    Related to the POP3-problem, I don't understand why
    Source: MyMailserver Destination: Any 
    works, and 
    Source: MyMailserver Destination: ExternalNetwork
    not.

    By defining ExternalNetwork as destination, I had in mind that then only the interface of ExternalNetwork would be used. I assume I'm wrong if I say that Any has a larger scope than ExternalNetwork, so in theory the connection could been made via another routing.

    I think I'm confused about these definitions, especially related to Any, and that I can avoid a lot of problems by understanding the detailed differnce between them

    I would be grateful if someone could explain or point me to an in-depth explanation.

    In the meanwhile I would like to thank all who contributed !

    Walter
  • 0 in reply to wquatan
    Those are interface rules; Astaro does not follow that covention.

    Astaro does its rules based on IP source/destination. It precludes spoofing on any of the interfaces for networks it is directly connected to.

    They are two conventions in the firewall industry. Which is "better" all comes down to how you like to think about the problem (maybe someday they will offer it as an option? there has been some existential discussions about it on other old posts...).
  • 0 in reply to SecApp
    Hi SecApp,

    Thanks for the explanation. Now I understand where I made the reasoning error and explains why nothing I configured worked.

    To understand that was my goal, not starting again a convention-discussion.

    Thanks for helping

    Walter
  • 0
    I too, run Azureus. All it takes to get Bit Torrent working through ASL, is to create a TCP port definition for port 6881, a masquerade rule mapping the port in to the workstation you are running Azureus on, and a filter rule that allows the inbound port 6881 traffic to pass. The principle is the same for the other protocols (FTP, etc) that you are having problems with.

    Instead of giving up, learn how to configure ASL properly. You might just find that it is worth your effort.
  • 0
    Walter,

    A few words from an Astaro Partner (and certified ASL engineer) that I hope will be of some help to you.  I've installed so many Astaro boxes that I've stopped counting -- and assisted with many other installations, large and small.  Without fail, the #1 cause of a bad experience with ASL is misconfiguration, usually due to misunderstandings about how the product features work, or just plain lack of training.  As far as corporate-level firewalls go, Astaro is actually pretty easy -- if you want difficult, try configuring a Gauntlet, Cisco, or Check Point.  My advice is that if your firewall is for business use, run (do not walk) to your nearest Astaro partner for installation assistance and training.  Many Partners offer some sort of training/mentoring program and the cost is well worth it and usually much less than comparable training for competing firewalls. 

    Hope this helps.
  • 0 in reply to OfficeDefender
    Hi Folks,

    After the explanation from SecApp that Astaro works IP-based, I understood where I made the wrong assumptions, based upon my knowledge I had with other products which don't follow that convention.

    Since, I revisted all settings and by now everything is working as espected.

    To be done, remains thighten the outgoing connections in NAT, as now any outgoing port is allowed.

    Also I need to find out how I can instruct Astaro to send it's mail-messages to my local mail-server instead of the mail-server of my provider.

    Actually this is a test-setup to be moved to another more performant machine. Does the Backup contain hardware-related information, making it unuseable for porting to another machine ?

    Thank you very much for your help !
    Astaro is indeed a great product.

    Walter
  • 0 in reply to wquatan
    You can restore a backup to different hardware but try and keep the same number of NICs
  • 0 in reply to wquatan
    [ QUOTE ]

    Also I need to find out how I can instruct Astaro to send it's mail-messages to my local mail-server instead of the mail-server of my provider.


    [/ QUOTE ]

    the key word is "route target" in /Proxies/SMTP   => see  doc 260ff

    cu
    Claus
Cookie Information Banner