Can you masquerade Instant Messager, NetMeeting, and Real Audio

Hi Dominic

I am going to answer your question in two sections.

First AOL IM and other IM client, and Real Audio should work through the SOCKS proxy server running on the ASL.  Just check the AOL IM and Real Audio setup and tell them to use a SOCKS5 proxy.

Net Meeting is another problem.  Net Meeting uses several TCP and UDP ports during a conference.  I have had limited success using Net Meeting through firewalls most of the time it fails during the call setup.  And if the Net Meeting on the other end is behind a firewall the forget it.  Microsoft has some detailed information on using Net Meeting with firewalls. This can be found at http://www.microsoft.com/windows/NetMeeting/Corp/reskit/Chapter4/default.asp

Good luck if you get it working please post how you did it.

Craig  [:)]

First, let me say thank you for your respone to my question.  Since I am new to Proxies and Masquerade, I was wondering if you could clear this up for for me.

1. With the current version of Astaro firewall, it is better to use Masquerade or proxies?  Another way to put its, can masquerade do other internet services like real audio, Instant message, irc, etc?  Or am I better off sticking with proxies?

2.  Is transparent proxies work only with HTTP protocol?  Is there transparent proxies for ftp, real audio, nntp, etc?

3.  After I enable/configurate the proxies, must I also enable the packet filter rule in order for my internal clients to get out to the internet?

Thank you for your time
dwc

[ 13 February 2002: Message edited by: Dominic Chan ]

In response to transparent proxies - HTTP is the only proxy which works transparently. 

As for Netmeeting - the limitation comes from IPTables and NetFilter itself. Handlers have been written for FTP connections, however nothing to date has been written or incorporated into Astaro. I attempted the same thing here where I attempted to DNAT all NetMeeting traffic into a particular host and SNAT the response ports to the same IP, however I had little success.

As for AIM, RealAudio, etc. Masquerading works great for these alone. However, if you want to do peer-to-peer file transfers or anything else that requires direct connections between two hosts, a SOCKS5 proxy would be required.

First, I want to say thank you for your posting. As you have mention earlier 

"for AIM, RealAudio, etc. Masquerading works great for these alone. However, if you want to do peer-to-peer file transfers or anything else that requires direct connections between two hosts, a SOCKS5 proxy would be required"

Since Astaro was base on Kernel v2.4.#, I though that masquerade won't work for ftp, icq, real audio, etc?  So what you are confirming is that masquerade alone (without turning on the proxies) will work for the following Internet Services

http, ftp, news, irc, telnet, ssh, real audio, windows, media, AOL IM, etc?

Second, rather I use masquerade or proxies, do I still need to set up a packet filter rules to all my internal client to get out to the outside?

Third, assuming the answer to my first question is true (that you can use do ftp, irc, nntp, etc with masquerade alone, without using proxies), why or when would you use proxies?  For example, what type of application must you use proxies because it doesn't work with masquerade?

dwc

First, I want to say thank you for your posting. As you have mention earlier 

"for AIM, RealAudio, etc. Masquerading works great for these alone. However, if you want to do peer-to-peer file transfers or anything else that requires direct connections between two hosts, a SOCKS5 proxy would be required"

Since Astaro was base on Kernel v2.4.#, I though that masquerade won't work for ftp, icq, real audio, etc?  So what you are confirming is that masquerade alone (without turning on the proxies) will work for the following Internet Services

http, ftp, news, irc, telnet, ssh, real audio, windows, media, AOL IM, etc?

Second, rather I use masquerade or proxies, do I still need to set up a packet filter rules to all my internal client to get out to the outside?

Third, assuming the answer to my first question is true (that you can use do ftp, irc, nntp, etc with masquerade alone, without using proxies), why or when would you use proxies?  For example, what type of application must you use proxies because it doesn't work with masquerade?

dwc

As usual, thank you so much for your quick reply.  I have learn a lot in the past day about the different between proxies and masquerade (all thanks to you  [:)]ke to add

1.  Are you running ASL 2.0 or 3.0??  the reason I ask is because if your previous response to irc using masquerade "IRC may be tricky due to the IDENTD requirements of some servers"  I know ASL 3.0 come with a IDENT proxies.  But in case of ASL 2.0, where there is no IDENTD proxies, what can you do to get around this problem? (or maybe it works fine with ASL 2.0 right now)

2.  You wrote on your answer to question #3 "Proxies allow for user-level control vs. IP only with Masquerade and packet filter rules".  Even if I use Proxies instead of Masquerade, I still need to add the proper packet filter rules in order for my internal client to go out on the Internet right?

3.  As far as FTP client goes, do most site use passive or non-passive transfer nowaday?  Which one is the one that will create a problem for me because it need to open up additional incoming port when I use masquerade with my ftp client?  You wrote "Non-passive FTP works well with NetFilter because of the ip_masq_ftp.o module (included with NetFilter in the Astaro kernel - allows for temp port forwarding for the FTP control channel). "

4.  What kernel version is ASL 2.0 and ASL 3.0?  

5.  Were you able to get NetMeeting to work with ASL Proxies?

6.  Are there any ETA on the final release date on ASL 3.0?  We are doing most of our testing with ASL 3.0 Beta, just to what possible feature set Astaro have in the current and future release.  We love the fact that the QOS will be available!

7.  Lastly, when will ASL be ICA certify?

Once again, thank you for your time in advance

dwc

1. We're running ASL 2.0.22 on our networks. We don't commonly use IRC in our environment, so I couldn't comment either way on whether or not IDENT works properly. I'm unframiliar with the IRC helper in NetFilter, so I can't state that it will or will not help. I'd be fairly certain, however, that in ASL 3.x that the IDENT proxy would be of some help.

2. Yes, I believe you would still need packet filter rules to allow outbound connections from the proxy to various ports.

3. You can use either, but I've found that non-passive FTP is much faster. Many clients default to passive to save end-user headaches though.

4. ASL 2.0 is based on 2.4.8, and ASL 3.0 last I checked was based on 2.4.16.

5. I have not tried using a SOCKS5 proxy, but I was not successful using masquerading and DNAT translation of incoming ports. I should clarify that it does seem to work okay outbound, but it's incoming netmeeting connections that are truly the problem.

6 & 7 would need to be commented on by ASL staff. I've read that 3.0 next beta should be out any time now, and that the final code would be released shortly after testing - perhaps March? I'd hate to rush such an important product though.