Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 3016 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Basic [quick] questions

RyanNelson
Hello all,

It's been a while.  I haven't run Astaro for about a year, and I've made a jump from a P5-200 with 80MB RAM to an Athlon 800 w/256.  I must say, it's much nicer to use than it was (Particularly page loads - they're much quicker).

I'm not entirely sure on configuration, though, at this point.  I'd like to have HTTP proxied, and behind the Corbis Surf Protection.  I need to pay for a license for that, which I know.  I know that there's transparent mode for the proxy; is there anything else I need to configure for HTTP to work behind a transparent proxy?  I tried it with Transparent enabled, and though the gateway/IP is set right under DHCP on client machines, it didn't work right until I told it to use a proxy for HTTP, which I believe is NOT how it's supposed to work.  What am I missing, and what do I need to do to make it truly transparent?

The other things I need to have enabled are Pop3/smtp (To access a server, not host one), Citrix, CCH, MS Money, Bit Torrent (For Fedora Core updates, among other things [;)] COULD just set up a Socks server for those - would that be preferable?)

This is where I get shaky.  It seems to me that I set up Masquerading for the connection as such:
 Code:
Name:    Match Parameters:                SRC Translation:                   DST Translation:    Actions:

Cable    Internal_Network__ -> All/All    MASQ_Comcast (External Interface)  None                Edit/Delete  
 

Is that correct, for proceeding?  The thing that makes that precarious is that I was on a PPPoE connection before, now it's just (mostly) static cable.

Then, I should just be able to creat packet filter rules that allow any transaction originating from the internal network, that matches a specific service (Whether it be Citrix or email or whatever).  That sounds right to me, but I may be WAY off base.

Thanks for your insight,
Ryan          


This thread was automatically locked due to age.
Parents
  • 0
    Your NAT rule, as shown, is OK. It masquerades the External interface, which is the proper configuration.

    I would suggest not using transparent HTTP proxy, unless you absolutely must. If you just have a few workstations, doing the proxy config in their web browsers is not that bad.

    The problem with transparent port 80 HTTP proxy is that HTTPS (secure HTTP over port 443) won't work.
      
  • 0 in reply to VelvetFog
    VF:  Thanks for the quick reply.

    I guess I'm ok with a standard HTTP proxy, becuase it really doesn't take too much time to set up.

    Problem:  I set up the Masq rule, precisely as written.  I then set up packet filter rules for POP3 and SMTP (I configured them so that internal_network [192.168.1.0] could access any servers with those ports), but it doesn't work.  I can open up Outlook, OE, or Mozilla Thunderbird, and it can't find the server.  I looked at the filter live-log on ASL, and it only mentions UDP port 137 packets being dropped from my IP - I don't know whether that's related or not.

    I think I ought to have everything set up right.  The "Internal_Network" definition is the one that Astaro seems to have set up itself (192.168.1.0, 255.255.255.255).  Should the netmask on it be changed to match that of my network, or is it ok as is?  As I browse around Astaro, I remember that everything's set about the same as it was before, but this time it doesn't work.  I'm sure there's a reason for that.

    Thanks,
    ~Ryan  
  • 0 in reply to RyanNelson
    You are not confusing the Internal_Interface (192.168.1.1 netmask 255.255.255.255) with the Internal_Network (192.168.1.0 - netmask 255.255.255.0) by any chance?

    You can safely make a rule such as:

    Internal_Network Any Any Allow

    To avoid filling your kernel and filter logs with megabytes of dropped netbios packet entries, since ASL will automatically log drop the netbios packets, you should consider placing topmost rules like these:

    Internal_Network  { netbios } Internal_Interface__   Drop
    Internal_Network  { netbios } Internal_Broadcast__  Drop

    These Microsoft netbios packets are dropped anyway, but this will keep them out of the kernel log and filter log.

       
  • 0 in reply to VelvetFog
    Thanks so much for bearing with me.  The fact that I can't figure this out on my own makes me feel like such an idiot. [;)]

    I double checked to make sure I'm not confusing internal_Interface with Internal_Network.  An interesting thing, though, is that the stated netmask for my Internal_Network definition is 255.255.255.255 where you state it as 255.255.255.0.  I wonder if that's causing the issue...

    I currently have these packet filter rules:
    Internal_Network {netbios} Internal_Interface Drop
    Internal_Network {netbios} Internal_Broadcast Drop
    Internal_Network {any} Any Allow

    And still things don't work.  I'm not sure what a netmask is (And I even consider myself to be a geek - I'll have to turn in my card!), but I've suspected that that might be why things are STILL not working.  I'm going to have to try playing with that.

    Again, thank you for your help!
    ~Ryan 
  • 0 in reply to RyanNelson
    That would be a problem; 255.255.255.255 would be a network of one (whatever the associated ip address was). 255.255.255.0 for network
    172.16.30.whatever would be numbers ranging from 172.16.30.1 to 172.16.30.255...
       
Reply Children
  • 0 in reply to SecApp
    Fixed to 255.255.255.0, still no luck. [:(]

    Could I have missed something in installation or configuration?  I DO set up a Masq rule, as opposed to Dnat or Snat, right?

    (Just shots in the dark - I don't have a clue, because it worked so simply before)

    Come to think of it, something MUST be working, because I'm typing here (Through my 192.168.1.1:8080 HTTP Proxy)

    ~Ryan 
  • 0 in reply to RyanNelson
    I've been thinking about it, and it occured to me:  Is there some config file I could upload here that could be more of a clue than the confused middle-man that I am?  A config file with all the firewall specifics could be (Maybe I'm way off) useful in diagnosing this.

      
  • 0 in reply to RyanNelson
    So please recap; what is not working at this point? Your prior post seemed to suggest it is working...
      
  • 0 in reply to SecApp
    HTTP Proxy works; nothing else does.

    Setting up a filter rule for
    Any All Any Allow
    still doesn't allow me to do anything, besides use the internet (And I still have to have my browser set up to proxy to the firewall, at that.)

    I have set up masquerading, as I mentioned above, but it still doesn't work, even with packet filter rules so lenient that anything should be allowed.  Still nothing, though - CCH, Email (Whether POP3 or SMTP), Citrix - they just don't work.

    It's actually USUALLY something about not being able to find the host name for whatever it is I'm trying to get to, come to think of it. 

    DNS proxy is enabled; maybe I'll toy with that.  It's set right now so that they go to the root DNS servers because I don'tknow of any comcast servers, so maybe I'll have to turn that off for the time being.

    Hmmm....

    ~Ryan  
  • 0 in reply to SecApp
    I found it, gentlemen!

    I didn't have any DNS servers configured in my DHCP Server area, so nothing knew where to go.  I entered 192.168.1.1 as my primary, and 204.127.xxx.xxx as my seconday (Comcast server).  Things work now!  (I also added both of my Comcast servers as routing servers for my DNS Server - It feels faster, but it may be just me).

    Ausgezeichnet!

    Thanks so much for everyone that helped me towards solving my problem!
    ~Ryan