Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 1890 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

problem with packet filter rule and masquerading

eric_ang
Hi,

I noticed the following when using Astaro version 5.015

1) the logging option for the packet filtering rules will be reset whenever the "action" option is change for that specific rule. E.g Drop to allow

 2) when applying a new packet filtering rules, existing TCP session will not be affected. E.g drop all  ftp traffic, existing ftp session will still continue. Is there a way to reset the firewall state table?

3) When masquerading is applied for all internal network on the external interface..Eg PAT.  Why does host from the external network stiill able to initial/establish direct connection to the internal network  host? There is not SNAT/DNAT defined.

4) For SNAT/DNAT and masquerading rules, as there is no rules prority E,g numbers. Does Astaro firewall process the rules base on best match?

Sorry is there any thing/setting I miss out?

thxs
Eric


This thread was automatically locked due to age.
Parents
  • 0
    1) That's a known issue.

    2) I will test that an reply later. Does that happen only for FTP or also for normal traffic like SSH, HTTP, ... I am asking because FTP uses dynamic port allocation.

    3) Why should a masquerading rule drop packets? If you don't want packets to route through ASL, just disable the packetfilterrule that allows these kind of packets.

    4) As far as I know ASL processes the rules alphabetically.

    Xeno
  • 0 in reply to Xeno
    2) OK, I reproduced that. It's also if using a normal tcp session like http. Established connections are going through a special rule in iptables. This rule is calles ESTABLISHED, RELATED. But anyway, there have to be a mechanism that keeps care of changes in packetfilter rules also for established connections.
    I reported that to Astaro. Let's see if it's easy to fix or if it is a bigger problem.

    Xeno
Reply
  • 0 in reply to Xeno
    2) OK, I reproduced that. It's also if using a normal tcp session like http. Established connections are going through a special rule in iptables. This rule is calles ESTABLISHED, RELATED. But anyway, there have to be a mechanism that keeps care of changes in packetfilter rules also for established connections.
    I reported that to Astaro. Let's see if it's easy to fix or if it is a bigger problem.

    Xeno
Children
No Data