Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 2 subscribers
  • Views 347 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Why are these being dropped?

naustin
I am running astaro 2.0. I have two NICs, Internal and External. The internal serves a 192.168.100.0 network and the external is a real internet IP served by my ISP. I am using Masquerading and internet everything works fine. I am trying to do VPN (IKE is UDP port 500 both ways). According to the web interface I currently only have one packet filter rule which is Any-Any-Any-Allow. I realize that this is bad, but if if it allowing EVERYTHING, then why can I see it dropping those packets in the Packetfilter-violation-LiveLog ???

There are also some other things in there? Why is this if im supposed to be allowing EVERYTHING?

Thanks!

[ 13 April 2002: Message edited by: naustin ]



This thread was automatically locked due to age.
Parents
  • 0
    naustin,

    this is related to the architecture of netfilter
    (which is the packet filter code in the linux kernel)
    Your rule ANY ANY ANY ALLOW is set in the forward
    table (routing table) and not in the input table.
    IPSEC is a local firewall process and for local processes you would need filters like 
    ANY UDP/500 IP-OF-FIREWALL ALLOW. But you do not need that, because Astaro sets all filters needed
    to run the builtin features itself.

    To find out more about netfilter and iptables have
    a look at e.g. http://www.linuxvoodoo.com/howto/iptables/iptables-tutorial.html

    Regards
    ollion
Reply
  • 0
    naustin,

    this is related to the architecture of netfilter
    (which is the packet filter code in the linux kernel)
    Your rule ANY ANY ANY ALLOW is set in the forward
    table (routing table) and not in the input table.
    IPSEC is a local firewall process and for local processes you would need filters like 
    ANY UDP/500 IP-OF-FIREWALL ALLOW. But you do not need that, because Astaro sets all filters needed
    to run the builtin features itself.

    To find out more about netfilter and iptables have
    a look at e.g. http://www.linuxvoodoo.com/howto/iptables/iptables-tutorial.html

    Regards
    ollion
Children
No Data
Unfiltered HTML