Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 1425 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Quick Newbie Question

omni_01
I set up ASL 4.  I have 3 NIC's.  I set up my masquerade.  My problem is with the packet filter rules.  I believe I'm supposed to set it up as follows:

inside network  -   http -    external interface -    allow
inside network   -  dns -     external interface    - allow


when I do that it does not work.  however if I change the "external interface" and put "any" then and only then do I have access to the internet.

Am I doing something wrong?  The only option for my DSL connection is the "external interface".  I have spent the last week reading  just about every post in the archives so that I don't bother the group with this dumb question but I couldn't find any solution.  If you can help me I would GREATLY appreciate it.

Thanks in advance.


 Junior   


This thread was automatically locked due to age.
  • 0
    Hi omni

    If you set up inside network->http->external Interface - allow
    you are only allowed to get access to the transfernetwork of your provider.
    This means that you can reach for example the router of your provider, but you can't reach anything behind this.
    Please use:
    inside network -> http -> any - allow

    Regards 
    Ronny   
  • 0 in reply to ronzle
    What would be the reason that I can't get out with network service interface?  I do not want to use "any" because then what is the point in having a firewall without "real" security.  

    I had Astaro 3.2 and did not have this problem before.  This only occured since I upgraded.  

    Thanks for helping Ronny.
  • 0 in reply to omni_01
    I think you're misunderstanding the meaning of "any" in the destination network.  What this rule "internal => any http allow" is saying is that you want to let machines that are defined as part of your internal network space surf to anywhere on the web.  On the other hand, if you say "internal => external . .. " you're saying you only want to let internal computers surf to your external port on your ASL box. . .not too helpful.

    The words "source" and "destination" may be confusing you.  For the purpose of the ASL rules (any packetfilter, for that matter) think of the source of the *request*, not of the *data.*  This means that when you, sitting at your computer, request a web page from somebody's computer on the 'net, the source of the request is you on your internal network, and the destination is the computer that hosts the page.  The fact that you have made the request, ASL will allow that computer host to respond; however, unless you make a really bad filter rule, if that computer "out there" tried to make a similar request of you (where it was the originator of the request) ASL would flush the packets and you'd never see them.

    Your ASL firewall is still protecting you. . .because if Any tries to find Internal (or even anything serious on external) the packets are dropped.  You can open those doors, of course, but you don't want to unless you're hosting something you want other people to see; and then you should really put the hosts on a DMZ and not on your internal network.

    Hope this helps,

    Dan  
  • 0 in reply to martindw
    Dan, that helped GREATLY!  Thanks for the explanation in such detail.  Did ASL change the way rules are made?  Because I did not have to choose "any" as the server before.  I would just choose the external interface.

    Again thanks for all of your help.   
  • 0 in reply to omni_01
    I don't think that's a change.  What you're describing should never have worked.  If it was a bug, it was a pretty big one--I'd say about Goliath beetle">http://www.extremescience.com/BiggestBug.htm>Goliath beetle size. . . [;)]

    Glad it was helpful in any case!

    Dan