Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 4994 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Packet Filter Rules

asher
Can someone help me with setting up some packetfilter rules. This is the deal...I want to leave aol instant messenger open and ipsec vpn between the two asl gateways open....However i want everything else to be closed including email, ftp web etc...

any ideas

asher


This thread was automatically locked due to age.
Parents
  • 0
    By default, Astaro blocks all traffic. Unless you have played around with the configuration since installing the software, you are done with blocking "everything else".

    Once you finish configuring the two Astaro boxes as VPN servers under "IPSec VPN", you will likely find that Astaro has already taken care of opening the necessary ports to the appropriate IPs.

    As for AOL IM, my understanding is that you will need to allow TCP on port 5190 to the AOL servers 64.12.161.XXX.

    A quick way to do this would be to define a network for 64.12.161.0 with mask 255.255.255.0, a service for TCP port 5190 and then create a rule to allow that service from your LAN to the AOL network.

    Hope this helps untill someone who actually knows can post the real answers.

    Farid
  • 0 in reply to fnacer
    Hmm....its still not working....however after reviewing my packet filter log i have some more questions...

    this is my current rule

    etho_network   aol   any    allow

    aol is defined as = 

    Protocol - tcp
    S/port - 5190
    D/Port - 5190
    (should these both be 5190 or should 1 be a range....i am really unsure about this part)

    I left the 'to server' in the packet filter rules as 'any' since AOL in there infinite wisdom has decided to constantly change the ip ports for their service. It seems that im connnects through port 5190 to all kinda funky ip's. Instead of having to tweak this everytime they change their servers i decided instead to just leave the rule as 'any'

    Anyway im still appears to be inoperative.....can anyone assit me with this?

    Asher

    PS IM is also happy connecting over port 21 (ftp) to the aol servers as well...
     
     [size="1"][ 08 August 2002, 11:40: Message edited by: asher ][/size]
  • 0 in reply to Biffa
    damm it...i must be stupid or something cause i still cant get this to work...argh

    okay

    I am running asl 3.2

    These are my rules;

    NJ-ips  Any  eth0_Network    Allow  
    eth0_Network   HTTPS  Any    Allow  
    Any    aol     Any           Allow  
    eth0_Network   Any   NJ-ips    Allow 

    OKay NJ_ips is b/c i am running a ipsec host to host vpn (asl 3.2 to asl 3.2) so to allow for communication between the 2 networks i have created these rules.

    AOL is defined as mentioned above

    It still wont work....i am pulling my hair out here...should i restart the asl?

    whats the deal??

    asher
  • 0 in reply to asher
    Originally posted by asher:
    Hmm....its still not working....however after reviewing my packet filter log i have some more questions...

    this is my current rule

    etho_network   aol   any    allow

    aol is defined as = 

    Protocol - tcp
    S/port - 5190
    D/Port - 5190
    (should these both be 5190 or should 1 be a range....i am really unsure about this part)

    I left the 'to server' in the packet filter rules as 'any' since AOL in there infinite wisdom has decided to constantly change the ip ports for their service. It seems that im connnects through port 5190 to all kinda funky ip's. Instead of having to tweak this everytime they change their servers i decided instead to just leave the rule as 'any'

    Anyway im still appears to be inoperative.....can anyone assit me with this?

    Asher

    PS IM is also happy connecting over port 21 (ftp) to the aol servers as well...
    This is what I have for defined for the AOL service:

    code:
    Name   Protocol   S-Port/Client   D-Port/Server  
    AOL    tcp/udp     1024:65535     5190
    Then just setup a rule to allow the specific network defininitions to access any (you are right about their servers changing all the time)

    Works fine here.
  • 0 in reply to asher
    Originally posted by asher:
    damm it...i must be stupid or something cause i still cant get this to work...argh

    whats the deal??

    asher
    Do you have the internal and VPN networks masqueraded to the external network?
  • 0 in reply to Biffa
    This is the deal....i know that everything is setup correctly cause if i set the rule to any any any allow I am golden

    But when i try to restrict the netwrork to ony vpn and AOL IM i get these probelms...also after reviewing the packet filter log i am still seeing port 5190 being dropped or rejected...even though i have explicetely opened it up??

    I am gonna try and uninstall and re-install IM this weekend maybe that will help...but with the packet filter showing droped connections on port 5190 I dont know how that would really help!!

    asher
     
     [size="1"][ 09 August 2002, 08:53: Message edited by: asher ][/size]
Reply
  • 0 in reply to Biffa
    This is the deal....i know that everything is setup correctly cause if i set the rule to any any any allow I am golden

    But when i try to restrict the netwrork to ony vpn and AOL IM i get these probelms...also after reviewing the packet filter log i am still seeing port 5190 being dropped or rejected...even though i have explicetely opened it up??

    I am gonna try and uninstall and re-install IM this weekend maybe that will help...but with the packet filter showing droped connections on port 5190 I dont know how that would really help!!

    asher
     
     [size="1"][ 09 August 2002, 08:53: Message edited by: asher ][/size]
Children
  • 0 in reply to asher
    Hey Asher,

    did you check Biffa's advice?

    Again, maybe allowing just and only port(s) 5190 is not enough, you need to set up the service ports as source 1024:65535 and destination only 5190.

    It's easy to check it, if there are log entries for any host related with above mentioned ports, it's a packet filter problem. Otherwise, it's something else. Something else being here almost anything possible  [:)]
  • 0 in reply to MagicMike
    so in the end just to conclude this matter....i gave up on using 5190 and went with port 21 instead....

    as a side note...both my masq and my d and s client settings are the same as specified above...even using these settings...I was still unable to get im to work.

    Instead...Now I am using a packet filter rule allowing the internal network to connect using FTP_Control to any server and have aol IM set to use port 21...this seems to be working fine..

    as a side note i am actually happier using 21 instead of 5190 sice AOL highspeed uses this port to connect as well....thus if any station on the network installs this software they could get on the net through aol and basically circumvent my packet filter rules....this is obvioulsy not good to say the least!!

    Well thanks for all the help

    asher