Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 749 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Login to 2000/NT4

YigalR
Hi All!
I want to allow my users ( in protected network) to logon to:
1)2000 Active Directory
2)NT4 Domain
How I need to configure my ASL4 for allow  to my users be able to comunicate normaly with my external networks
ports , dnat/snat ???       


This thread was automatically locked due to age.
Parents
  • 0
    Under Network --> NAT/Masquerade, create a masquerade rule for LAN access to the outside world:

    Local_NAT  Internal_Network__ -> All / All MASQ__External  None


    Under Definitions --> Networks, create a definition:

    Broadcast32  Addr: 255.255.255.255 Mask: 255.255.255.255


    Under Packet Filter --> Rules, create a few simple filter rules:

    Any  Any  Broadcast32   Drop 
    Internal_Network  { netbios } Internal_Interface__  Drop 
    Internal_Network  { netbios } Internal_Broadcast__  Drop
    Internal_Network  Any  Any  Allow

    That should be sufficient to get you started. You should check your live filter logs, and see what packets your workstations send out that are being log dropped by ASL, and then create additional drop rules, or a larger, custom  Service Group definition to replace the {netbios} one used in my sample filter rules above. Otherwise your daily kernel and filter logs will grow very large.  
Reply
  • 0
    Under Network --> NAT/Masquerade, create a masquerade rule for LAN access to the outside world:

    Local_NAT  Internal_Network__ -> All / All MASQ__External  None


    Under Definitions --> Networks, create a definition:

    Broadcast32  Addr: 255.255.255.255 Mask: 255.255.255.255


    Under Packet Filter --> Rules, create a few simple filter rules:

    Any  Any  Broadcast32   Drop 
    Internal_Network  { netbios } Internal_Interface__  Drop 
    Internal_Network  { netbios } Internal_Broadcast__  Drop
    Internal_Network  Any  Any  Allow

    That should be sufficient to get you started. You should check your live filter logs, and see what packets your workstations send out that are being log dropped by ASL, and then create additional drop rules, or a larger, custom  Service Group definition to replace the {netbios} one used in my sample filter rules above. Otherwise your daily kernel and filter logs will grow very large.  
Children
  • 0 in reply to VelvetFog
    Why I need a "drop rules' ? like :
    Any Any Broadcast32 Drop 
    Internal_Network { netbios } Internal_Interface__ Drop 
    Internal_Network { netbios } Internal_Broadcast__ Drop

      
  • 0 in reply to YigalR
    Normally all packets, dropped by the packet filter are shown in the kernel logfile. To prevent that your kernel log increases to much, you can add these rules. So the matching packets are not shown anymore.

    /bagira  
  • 0 in reply to YigalR
    The packets covered by those rules are dropped anyway, by default by ASL v4, but they are log dropped, which means they leave entries in the kernel log and the filter log.

    Creating filter rules that drop them (no logging) can make the difference between having kernel and filter log files in the 50 - 100 KB per day size range, instead of getting these log files up in the 2 - 10 MB per day size range, which puts a high load on the system at midnight, when the previous day's log files are processed and rolled over. It also consumes a lot of disk space.

    Do you really need your permanent logs to show that all your Windows machines sit there and beacon out netbios packets every few seconds?