Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 2227 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Rules, security etc.

Khol
Hi there.
Im not much of a networking and firewalling expert, and i'm having problems understanding all those masq-stuff and filter rules. I guess i will have a few answers on this post, and i will keep posting questions here but i would like to start with two simple questions.

1. Is there anywhere in this bulletin board where i can read all about these rules and stuff that will make me understand them?

2. I have a network at home. One Astaro filrewall (4.009) with 3 NICS. One (eth1) is to my ISP (DHCP assigned IP), the second (eth2) is my DMZ and third (eth1) is my protected intranet with workstation(s).

I dont care so much for the DMZ at the moment, but i would like to know one thing...  Is my (eth1) itnranet secured properly when i have these settings:

NAT/Masquerading
------------
Name: MASQ
Rule type: Masquerading
Network: Internal_Network_
Interface: UPC   (UPC is my provider)

Packet filter
---------
From: Internal_Network_
To: Any
Service: Any
Action: Allow

From: Any
To: UPC_Interface_
Service: Any
Action: Allow

If not? what should i do?

I have tried using action LOG DROP on the last rule, but then ftp gets weird and stuff like that.

regards,
Henrik  


This thread was automatically locked due to age.
Parents
  • 0
    Svar till:

    Khol

    From: Any
    To: UPC_Interface_
    Service: Any
    Action: Allow

    If not? what should i do?

    [/ QUOTE ]

    What this rule does is open all traffic from internet to your network!
    Skip that rule and u will be safer than u are fore the moment!     
  • 0 in reply to Myggan
    Hi,
    I had lots of problems "surfing the net" when i only had the first rule, then a friend of mine said that i should add the rule that you just told me to remove. He also said that i should use LOG DROP instead of ALLOW but i didnt get that to work at all.

    I will try to remove the rule and see what happens.

    But as i understand it, the only rule i need to be able to surf the net, play internet games, ftp, mail etc. is the rule:

    From: Internal_Network_
    To: Any
    Service: Any
    Action: Allow

    is that correct?   
Reply
  • 0 in reply to Myggan
    Hi,
    I had lots of problems "surfing the net" when i only had the first rule, then a friend of mine said that i should add the rule that you just told me to remove. He also said that i should use LOG DROP instead of ALLOW but i didnt get that to work at all.

    I will try to remove the rule and see what happens.

    But as i understand it, the only rule i need to be able to surf the net, play internet games, ftp, mail etc. is the rule:

    From: Internal_Network_
    To: Any
    Service: Any
    Action: Allow

    is that correct?   
Children
  • 0 in reply to Khol
    That is correct.

    From (internal network) --> Service (any) --> Destinaion (any) -- Allow

    That rule will allow anyone from the internal network to do anything. 
  • 0 in reply to HAiRYANiMAL
    ok, sounds good.
    Although, i have had lots of problems using FTP when i only have that rule. Downloads stopping, timing out etc. and when i add the rule from any, service any, destination UPC, allow then it seems to work. But, then again, accoring to your oppinion this make my internal network unsafe.

    1. Is there any solution for my ftp-problems then?

    2. I have DMZ network running, and i have a DNS-server on the DMZ (192.168.2.x). I want to use that DNS-server from my internal network 192.168.1.x. What rule should i add then?  
  • 0 in reply to Khol
    Hi Khol,

    did enabled the HTTP Proxy ?
    with FTP /FTP-DATA?
    Is your client configured to use the proxy?

    -->Then you have to read the Activ / Passiv FTP threads

    Suggestion:

    Allow Service FTP-Control and FTP-DATA from your client and don't use the proxy for the FTP Connection.
    This configuration worked fine for me.

    HTH

    Udo Seiler
      
  • 0 in reply to Udo_Seiler
    Hi there:

    Udo: I'm not using the webproxy at all. So that is most likelly not the problem. I noticed yesterday that when i download big files the connection drops when the first file is downloaded. It's almost as if i'm logged out during the download, but the server accepts that i download the file that im currently downloading. I know that it is not that way, but the symptom is like that. I just wonder whats wrong.

    Myggan: What if i use From any, To Upc..., Service Any, Action log drop. Will that to be a security risk?
    How is it possible for anyone "on the internet" do do stuff on my internal computer (192.168.x.x) when i have the allow rule? The ip-number is private and it should'nt be reachable? How does that work?

      
  • 0 in reply to Khol
    Khol!

    I just want to rovide you with the second half of answer.
    If you have allowed access to your internal "private" IP ranged network (like 192.168.x.x) I can come to your network if I configure my computer with public IP so, that your ASL external IP as gateway for that class.

    IOW: a.b.c.d IP knows how to come to 192.168.0.0/16 addresses.

    Understood?

    BR, Matjaz