Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 1553 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Astaro refuses to reject IDENT !

mattd
Hi,

I need Astaro to reject IDENT from servers in my DMZ. 

I have any-IDENT-DMZ-deny in my filter rules, and see the drop in the logs, but I don't think  Astaro (2.019) is sending a reject back to the host that sent the Ident request. 

This is causing long delays.

I've done many tests and know what Astaro is dropping and logging the packets, but not sending a reject.

Any ideas?

Thanks.


This thread was automatically locked due to age.
  • 0
    Ok, I fixed this by manually changing the LOGDROP chain to REJECT not DROP, however I did make me think that Astaro isn't doing exactly what it says "on the tin".

    According to the documentation, 'drop' silently drops the packet, and 'deny' sends a port unreachable ICMP message back to the connecting host and logs that event. This isn't what Astaro does!! 

    'drop' does indeed silently drop the packet and does no more, but 'deny' just silently drops and logs - but it _doesn't_ reject.

    How about adding some options into the filter rules:
    drop, drop and log, reject, reject and log

    Cheers, Matt.
  • 0 in reply to mattd
    Reject does send a packet back, drop is the silent drop, no response. In your post, you indicated you have a DMZ-drop rule, not a reject rule.
  • 0 in reply to Mike_C
    No, I was using DENY in the packet filter. According to the Astaro docs, this should REJECT the packet.

    As I mentioned in my above post, this is not the case. The IPTables rules on ASL 2.019 do NOT ever jump the the predefined IPTables REJECT chain, they always use DROP.

    I had to manually change some of the ASL defined IPTables chains to ensure a REJECT was happening.

    SSH in, and type /usr/local/bin/iptables -L
    you will soon see that there are not REJECT chains, only drops!

    Have a good New Year!
    Thx /m
  • 0 in reply to mattd
    mattd,

    this is definitively a documentation error!
    I ll send an error report to the responsible
    person.

    Sorry
    o|iver

    BTW the firewall would be very gabby if it would
    send rejects for every filtered packet ;-)
  • 0 in reply to oliver.desch
    "BTW the firewall would be very gabby if it would
    send rejects for every filtered packet ;-) "

    Yes, I definately do not want the firewall sending a reject for all filtered packets!

    Thanks for sorting out the error  [:)]
Unfiltered HTML