Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 1504 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Ping / ASL Initial Configuration

stella_01
I have recently reinstalled Astaro 4 because I added another nic for a DMZ. Since the installation I have not been able to ping anything by ip address or domain name.  HTTP proxy is working and I can get to the Web.

Some question I have:

When I do a ipconfig /all from my workstation on the internal network should the default gateway, DHCP server and DNS server all be 192.168.2.100 (the address of my INTERNAL nic on my ASL box)?  If not what should they be?

Under the Interfaces page in WebAdmin should I see gateways displayed for the DMZ and INTERNAL interfaces?

Why can't I ping anything?

Any help you could give me would be very appreciated.  Below is the relevant configuration information.  Thank you.

INTERFACES:  (DSL/PPPoE) - all in state up
    DMZ on eth1  10.10.10.0/255.255.255.0 gateway:none
    EXTERNAL on eth2 209.193.42.xxx/????? gateway:assign
    INTERNAL on eth0 192.168.2.100/255.255.255.0 gateway:none

NAT: INTERNAL NETWORK_ -> ALL/ALL MASQ_INTERNAL none

DHCP:
     DNS SERVER1 192.168.2.100
     GATEWAY  192.168.2.100

PACKET FILTER:
     RULES     INTERNAL_NETWORK_  ANY ANY ALLOW
     ICMP        ICMP FORWARDING ENABLED

DNS PROXY:
     Interface to listen on: INTERNAL
     Allowed Networks:  INTERNAL_NETWORK_
     Forwarding Name Servers:             1) 209.193.4.7 (ISPs)
                                                         2) 209.193.4.8 (ISPs)  


This thread was automatically locked due to age.
Parents
  • 0
    [ QUOTE ]


    Some question I have:

    When I do a ipconfig /all from my workstation on the internal network should the default gateway, DHCP server and DNS server all be 192.168.2.100 (the address of my INTERNAL nic on my ASL box)? 

    [/ QUOTE ]  Yes.


    [ QUOTE ]
     Under the Interfaces page in WebAdmin should I see gateways displayed for the DMZ and INTERNAL interfaces?

    [/ QUOTE ]  Only the External interface should have a gateway definition. The Internal and DMZ interfaces are the gateways for their respective networks, so on those the gateway entry should be left blank.



    [ QUOTE ]
    Why can't I ping anything? 

    [/ QUOTE ] Because your masquerading rule is wrong.



    [ QUOTE ]
     NAT: INTERNAL NETWORK_ -> ALL/ALL MASQ_INTERNAL none 

    [/ QUOTE ] That won't work, you are masquerading the Internal network to itself. You need to masquerade the External network like this:

    NAT Internal_Network__ -> All / All  MASQ__External  None



    [ QUOTE ]
     PACKET FILTER:
         RULES     INTERNAL_NETWORK_  ANY ANY ALLOW 

    [/ QUOTE ] This is a very simplistic rule setup, and both your filter and kernel logs are likely to grow very large every day. See this BBS memo for a  more elaborate filter setup that will reduce the log sizes by dropping the netbios broadcast traffic generated by the local Windows machines:

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/110/t/71149

         
Reply
  • 0
    [ QUOTE ]


    Some question I have:

    When I do a ipconfig /all from my workstation on the internal network should the default gateway, DHCP server and DNS server all be 192.168.2.100 (the address of my INTERNAL nic on my ASL box)? 

    [/ QUOTE ]  Yes.


    [ QUOTE ]
     Under the Interfaces page in WebAdmin should I see gateways displayed for the DMZ and INTERNAL interfaces?

    [/ QUOTE ]  Only the External interface should have a gateway definition. The Internal and DMZ interfaces are the gateways for their respective networks, so on those the gateway entry should be left blank.



    [ QUOTE ]
    Why can't I ping anything? 

    [/ QUOTE ] Because your masquerading rule is wrong.



    [ QUOTE ]
     NAT: INTERNAL NETWORK_ -> ALL/ALL MASQ_INTERNAL none 

    [/ QUOTE ] That won't work, you are masquerading the Internal network to itself. You need to masquerade the External network like this:

    NAT Internal_Network__ -> All / All  MASQ__External  None



    [ QUOTE ]
     PACKET FILTER:
         RULES     INTERNAL_NETWORK_  ANY ANY ALLOW 

    [/ QUOTE ] This is a very simplistic rule setup, and both your filter and kernel logs are likely to grow very large every day. See this BBS memo for a  more elaborate filter setup that will reduce the log sizes by dropping the netbios broadcast traffic generated by the local Windows machines:

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/110/t/71149

         
Children
  • 0 in reply to VelvetFog
    Thanks for the NAT correction!

    I wish to try and implement rules similar to the ones that VelvetFog has suggested but I'm not sure how packet filtering work in regards to proxies.  If I am using the SMTP, POP and DNS proxies do I have to include each service in my allowed services groups so I can explicitly allow these services via packet filter rules or do the proxies handle this?  To state this another way, do proxied services have to have packet filter rules defined in order to work?

    Thanks again for you help.  
  • 0 in reply to stella_01
    [ QUOTE ]
    If I am using the SMTP, POP and DNS proxies do I have to include each service in my allowed services groups so I can explicitly allow these services via packet filter rules or do the proxies handle this?  To state this another way, do proxied services have to have packet filter rules defined in order to work?

    [/ QUOTE ] Good question. I do allow access from the Internal network to all services, including the proxied ones, via the rule:

    Internal_Network__ Any  Any  Allow 

    but it is obviously possible to create a tighter filter rule setup than that.

    Does anyone reading this have a good filtering setup that they would like to share?  
  • 0 in reply to VelvetFog
    I would be interested in seeing this too...

    thanks,  
  • 0 in reply to VelvetFog
    If I understood this right, you setup a packetfilter rule for example port 80 to allow, and use the Http-Proxy.
    You do not need to setup a special Packet-Filter Rule if you enter the Networks/Hosts in the Allowed Networks in your Proxy-settings.
    This is working in my configuration.
    Greetings
    Thomas