Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 1450 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

packet rules for Worm what way?

pewietu
Hi i am setting upp packetrules for Worm protection.

My setup is:

DHCP from ISP
NAT Masquerading

I have create ha Definition services like this:

rpcworm 3 tcp/udp 593 593 

Then set packet rule:

INT_NETWORK_ rpcworm 3 any log drop

Is this the right thing to do with my config? 


This thread was automatically locked due to age.
Parents
  • 0
    here is what i have
     
      Add Rule
     
      
    From (Client)
       To (Server)
    Service
       Action

     
     
    ...  No.  From (Client)  Service  To (Server)  Action  Command
    1  { Private_Networks_-_RFC1918 }  rpcworm 3  Any  Drop  edit  del  move
    2  { Private_Networks_-_RFC1918 }  rpc worm 2  Any  Drop  edit  del  move
    3  { Private_Networks_-_RFC1918 }  { netbios }  Any  Drop  edit  del  move
    4  { Private_Networks_-_RFC1918 }  Any  Any  Allow  edit  del  move



    my rpc worms are defined as:
    rpc worm netbios   tcp/udp   135:139   135:139
    rpc worm 2   tcp   445   445
    rpcworm 3   tcp/udp   593   593
     
  • 0 in reply to William Warren
    Thanks fore you reply but one question for you

    What is the last rule do 

    { Private_Networks_-_RFC1918 } Any Any Allow edit del move

    Doesent that mean that you let pass thru everything?

    My rules look like this:

    1  PWNETINT_Network__ DNS Any Allow  edit del move 
      2  PWNETINT_Network__ HTTP Any Allow  edit del move 
      3  PWNETINT_Network__ HTTPS Any Allow  edit del move 
      4  PWNETINT_Network__ ftpr Any Allow  edit del move 
      5  PWNETINT_Network__ FTP Any Allow  edit del move 
      6  { Private_Networks_-_RFC1918 } rpc worm 2 Any Log Drop  edit del move 
      7  { Private_Networks_-_RFC1918 } rpc worm netbios Any Log Drop  edit del move 
      8  { Private_Networks_-_RFC1918 } rpcworm 3 Any Log Drop  edit del move 
      9  { Private_Networks_-_RFC1918 } { netbios } Any Drop  edit del move 
      10  { Private_Networks_-_RFC1918 } Any Any Allow  edit del move 
  • 0 in reply to pewietu
    It is only for private networks; but I feel uncomfortable with such a rule too. So let's say you have two Internal networks, you can add a rule from Internal1 to Internal2 Any Allow, from Internal2 to Internal1 Any Allow. I think that's what he's trying to achieve with that last rule, but it's too broad for my tastes...
       
Reply
  • 0 in reply to pewietu
    It is only for private networks; but I feel uncomfortable with such a rule too. So let's say you have two Internal networks, you can add a rule from Internal1 to Internal2 Any Allow, from Internal2 to Internal1 Any Allow. I think that's what he's trying to achieve with that last rule, but it's too broad for my tastes...
       
Children
No Data