Test security firewall

https is open for web administration.

Try closing it with a packet filter.  Likewise ICMP.
 

You could even be preciser explaining in detail an example to me? Thanks      

In System-Settings-Webadmin Settings-Allowed Networks
Make sure only your internal network is listed.

In Packet Filter-Rules
Create a new rule.
Any HTTPS Firewall_Red_Interface Drop

Activate the rule.
Now see if 443 is open still.
 

OK, thanks hour works. Me remains pear tree always the signalling for the ICMP type 8, can explain like making to me also for this? Thanks  
 
  
   

Unsure about ICMP type 8 [:)] 

ICMP Type 8 is used during a PING operation.  

You create a filter in the same way you did for https.  Just specify the protocol type as ICMP.  Its generally a good idea to block all ICMP traffic any way.  :-)  

I have tried more with more filters but door 443 always turns out to be opened. Sempra like if it did not come accepted the filter. You can help me. Thanks   

I have tried more with more filters but door 443 always turns out to be opened. It seems like if it did not come accepted the filter. You can help me. Thanks   

Hi,
is the machine from where the portscan is going out one of the machines that are listet in the "webadmin-allowed-networks" ?
If this is you really see Port 443 because you allowed it .

with ICMP Type 8, what are your ICMP settings in Packetfilter section of webadmin ?
firebear  

Hello, in section ICMP all the points are not active, it is for that I do not succeed to understand as it can be active ICMP type 8.   

I enclose to you all the one which I have found on door 443 :


Chain AUTO_INPUT (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0          
    0     0 ACCEPT     tcp  --  *      *       192.168.111.0/24     0.0.0.0/0          tcp spts:1:65535 dpt:8080 
    0     0 ACCEPT     tcp  --  eth0   *       0.0.0.0/0            255.255.255.255    tcp spt:68 dpt:67 
    0     0 ACCEPT     udp  --  eth0   *       0.0.0.0/0            255.255.255.255    udp spt:68 dpt:67 
    0     0 ACCEPT     tcp  --  eth0   *       192.168.111.0/24     192.168.111.1      tcp spt:68 dpt:67 
    0     0 ACCEPT     udp  --  eth0   *       192.168.111.0/24     192.168.111.1      udp spt:68 dpt:67 
    5   924 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp spts:1024:65535 dpt:443 
    0     0 LOGDROP    tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp spts:1024:65535 dpt:443 
    0     0 DROP       tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp spts:1:65535 dpt:25 
    0     0 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0          state RELATED,ESTABLISHED 

Chain AUTO_OUTPUT (1 references)
 pkts bytes target     prot opt in     out     source               destination         
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            193.5.216.14       udp spts:1024:65535 dpt:123 
    0     0 ACCEPT     icmp --  *      *       0.0.0.0/0            0.0.0.0/0          
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp spts:1024:65535 dpt:80 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp spts:1024:65535 dpt:443 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp spts:1024:65535 dpt:21 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp spts:1024:65535 dpt:8080 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp spts:1024:65535 dpt:389 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp spts:1:65535 dpt:222 
    0     0 ACCEPT     tcp  --  *      eth0    192.168.111.1        255.255.255.255    tcp spt:67 dpt:68 
    0     0 ACCEPT     udp  --  *      eth0    192.168.111.1        255.255.255.255    udp spt:67 dpt:68 
    0     0 ACCEPT     tcp  --  *      eth0    192.168.111.1        192.168.111.0/24   tcp spt:67 dpt:68 
    0     0 ACCEPT     udp  --  *      eth0    192.168.111.1        192.168.111.0/24   udp spt:67 dpt:68 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp spts:53:65535 dpt:53 
    0     0 ACCEPT     udp  --  *      *       0.0.0.0/0            0.0.0.0/0          udp spts:53:65535 dpt:53 
    0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0            0.0.0.0/0          tcp spts:1:65535 dpt:25 
    5  1403 ACCEPT     all  --  *      *       0.0.0.0/0            0.0.0.0/0          state RELATED,ESTABLISHED 

  

Hi,
whats about your webadmin settings is there an allowed network "any" ?

firebear  

Hi,
whats about your webadmin settings is there an allowed network "any" ?

firebear  

Excuse but I do not succeed to understand, you can say to me exactly where to watch? Thanks   

Look in Sytems/Settings/WebAdmin Settings/Allowed networks. Make sure, there is only intern_Network

If you want, you allow the WebAdmin on only one port for more security. To connect, you have to type 192.168.*.*:***** (the WebAdmin Settings/TCP Port)

 5 924 ACCEPT tcp -- * * 0.0.0.0/0 0.0.0.0/0 tcp spts:1024:65535 dpt:443 (Every IP Adress is allowed)
after your setup it will be:
5 924 ACCEPT tcp -- * * 192.168.11.0/255.255.255.0/24 tcp spts:Your defined TCP Port dpt:443 


Basty  

Thanks, six state much precise, hour seem that door 443 is truly blocked. Me it always remains opened ICMP type 8, you know to explain to me as I make to inhibit it?  
 
 
Results from scan of ICMP at TCP/IP address: xxx.xxx.xxx.xxx
 

Protocol  Type  Status  Additional Information 
ICMP  8  OPEN An ICMP ping request is usually used to test Internet access. However, an attacker can use it to determine if your computer is available and what OS you are running. This gives him valuable information when he is determining what type of attack to use against you. 
  

Under menu: "Packet Filter" select "ICMP" and make sure all ICMP settings are Disabled. Then scan again.