Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 2208 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

"Any" in rules?

unkfrank12
Hi Folks,
Strange situation...
It seems if I set a rule such as:
PC1 --> Any --> Any
I still have to specify a rule such as:
PC1 --> WebServer --> SMTP
to send mail.
Has anyone else seen this?
thanks,
Frank


This thread was automatically locked due to age.
Parents
  • 0
    Just checking: does a PC1 --> Any --> SMTP work??
    And how about PC1 --> WebServer --> Any?
  • 0 in reply to SecApp
    Nope. In addition I am no longer getting any mail...?
    crazy firewall...
  • 0 in reply to unkfrank12
    Well. not getting makes sense; I don't see mention of Any =---> PC rules here.

    Now, I am to take it that you're not using the SMTP or POP proxies??
  • 0 in reply to SecApp
    No I'm not using either proxy because I couldn't get them to work. My rules are the standard ones in DNAT/Masq:
    All --> External Address --> POP3 -- Allow --> Webserver
    All --> External Address --> SMTP -- Allow --> Webserver
    In Packet Rules:
    Any --> POP3 --> Webserver
    same for SMTP.
    Network is as follows:
    DSL Modem --> Linksys Router --> ASL --> Switch --> 2 PC's and a Cobalt Raq4 Server.
    thanks for your time,
    Frank
  • 0 in reply to unkfrank12
    Are all the gateways set right? (Server and PCs to ASL; ASL to LinkSys; LinkSys to DSL)

    As I just said in another post, multiple hops beg for a traceroute/tracert test; temporarily enable ICMP on Astaro.

    Sure the LinkSys doesn't have an ACL in effect??
  • 0 in reply to SecApp
    I think the gateways are correct.
    Here's a copy of traceroute to Linksys Router (192.168.10.1)from a pc(192.168.1.3) on the internal network(192.168.1.110) with "Traceroute Settings" enabled:

    09/30/04 21:12:20 Fast traceroute 192.168.10.1
    Trace 192.168.10.1 ...
     1   No Response      *      *      *                 
     2 192.168.10.1      1ms    1ms    1ms  TTL: 63  (No rDNS)

    This is the result of traceroute to the "External Address"(192.168.10.110) from 192.168.1.3:

    09/30/04 21:17:01 Fast traceroute 192.168.10.110
    Trace 192.168.10.110 ...
     1 192.168.10.110    0ms    0ms    0ms  TTL: 64  (No rDNS)

    External Gateway is set as eth1 at 192.168.10.1 from External Address(192.168.10.110).

    The Internal Address. eth0 at 192.168.1.110 does not have a gateway set. Is it supposed to??

    As you may have noticed I took your advice and changed the External from 192.168.0.1 to 192.168.10.1.

    I am now able to view websites from the server at 192.168.1.200. My current problem is no email traffic either way. I am unable to send or the server gets no incoming.
    My rules are as follows:
    DNAT/Masq
    Webserver_DNS -->Any-->External Address/DNS-->none-->Webserver
    The same is set for HTTP,POP3,SMTP,and HTTPS.
    I also have one for Internal-->All/All-->Masq_External None.
    Under Packet Filter Rules:
    Any-->DNS-->Webserver
    Same for HTTP,HTTPS,POP3 and SMTP.
    I'm at a loss as to what to do now...
    Thanks again for your help,
    Frank
  • 0 in reply to unkfrank12
    Well, you need rules

    Internal =--> SMTP =--> Any
    Internal =--> POP =--> Any

    to send mail from Internal (or webserver, or whatever); unless you're going to use the SMTP proxy; then you don't need any rules...

    Are you running a mail server on your LAN? Because if you are just running mail clients, you don't need DNAT or Source=Any rules, because mail clients are "pull" -they always solicit and go out from the LAN...

    I didn't make the suggestion about changing the network number; Jim did. [Did he delete his post, or was that on another forum??]

  • 0 in reply to SecApp
    I do have a rule:
    Internal (Network)--> Any-->Any--> Allow
    Should that be Internal (Address) instead?
    Just tried that too. Didn't work. It seems that no email traffic is making it past the firewall.? I typically get over 100 emails a day, so I know that nothing is coming through.
    Yes to  a mailserver. Cobalt Raq4. But there is only one PC requesting mail within the LAN unless I connect a laptop.
    Thanks for your suggestion
Reply
  • 0 in reply to SecApp
    I do have a rule:
    Internal (Network)--> Any-->Any--> Allow
    Should that be Internal (Address) instead?
    Just tried that too. Didn't work. It seems that no email traffic is making it past the firewall.? I typically get over 100 emails a day, so I know that nothing is coming through.
    Yes to  a mailserver. Cobalt Raq4. But there is only one PC requesting mail within the LAN unless I connect a laptop.
    Thanks for your suggestion
Children
  • 0 in reply to unkfrank12
    Is it possible your ISP just ACLed off SMTP? (they're often doing that now because of spam)

    Can you take a PC and connect to the external interface and do a telnet test to see if you can get in to the mail server? (telnet server_IP 25) That way we make sure it's the firewall and not the LinkSys or ISP.

    You probably know this, but to be on the safe side I must say use a crossover cable if you are connecting directly from PC to external NIC; otherwise use an intermediary hub/switch.