Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 2 subscribers
  • Views 17135 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Rule creation problem: droped pockets from inside

FCs
hi!

i'm pretty new in astaro, i was using smoothwall for a while in my home network but it hasn't got the extra features that astaro has. so i decided to change but i just can't get it work properly.
the situation: i have six machines at home with fix IP from 192.168.0.11 to 16, the def gateway is 192.168.0.1, wich is the servers eth0 adapter. i connect to the web with pppoe, it works fine,i could update the firewall. only the dns proxy is running, i use standart routing and masq from intern network to wan adapter.first i created network hosts for every IP and after that two network groups. at the rule setting option i selected for the source one of the groups, dest: any, service: any, allow. i tried to load a page but nothing happened. at the live log i could see that my IP /192...11/ is trying to connect to the IP stored by the dns proxy but it was marked red. after many faild attemts i desperately created a rule where everything was set to any and allow but nothing changed. 
i don't know what the problem could be, maybe there's a simple answer but i'm at the and of my knowledge..[:)] 
thanks for the help


This thread was automatically locked due to age.
Parents
  • 0 in reply to FCs
    So you have a certain amount of hosts and you want them to navigate. You also enabled the DNS proxy.

    First try to disable your proxy, and see if anything changes (mind to place some DNS entries at your hosts in the LAN, of course).
    It'll probably won't work, as I suppose you might have other sort of troubles.

    1- you created the definitions for your LAN and the WAN
    2- you created a Masq defintiion in order to have your LAN NATed on the WAN
    3- you created some (one) PF rule(s) to allow your LAN to navigate.

    That would suffice.

    Two questions:
    - what is your route setting for?
    - what do you exactly mean with "first i created network hosts for every IP and after that two network groups."

    Maybe a clearer and more detailed description of your configuration would help to answer

    friscom
  • 0 in reply to friscom
    my home network looks like this:



    at first the dns proxy was disabled, i enabled it only after the connecting failures, with no change. to the questions:
    1. i use the default routing. i examined the settings and it should work without any additional settings, but i also tried to create new routings, as exepted without success.
    2.  first i tried to create rules for the entire lan side, allowing all traffic, after that i added each host separately and created individual rules. my last thought was to put this hosts to groups and add rules for the groups but no succsess, only dropped pockets in the log..
  • 0 in reply to FCs
    It seems that your configuration has no peculiar device or option that could require special settings of the ASL.

    Let me suggest to do the following.
    Try a basic setup, possibly from scratch, with a single host. Just to see it works.
    Once done that, add a second host, in the same subnet and go ahead.
    Do not apply a one-to-one NAT, just a very general approach, that works (masquerading the whole LAN to the WAN).
    In this way, by checking and then making changes, it is easier to undersatand once it stops working were the problem lies.

    Mind to follow those basic steps: 
    - define all the interfaces you are going to use and the network (devices or subnets)
    - set the NAT masquerading rules
    - apply the navigation PF rules.

    friscom

    PS: One last suggestion: always update your ASL to the latest version available, and then, no matter what may seem, reboot it!
  • 0 in reply to friscom
    first of all thanks for your help and patience friscom! fortunately my old smoothwall works fine on an other hdd so i can switch anytime between the two systems and i can read your tips..[:)]

    i reseted the al5 to the factory defaults and tried again. i pasted an image together of my current, very basic settings. as i know with these settings i should be able to access the web but i still can't

  • 0 in reply to FCs
    Rules/MASQ Looks OK.

    Packets dropping are DNS requests.

    Turn on DNS proxy on, listen on INT interface and ALLOW int network.

    Post screenshot of PF Log again if still not working.
    (please use higher-quality jpg next time [:)]

    Barry
  • 0 in reply to FCs
    The answer you got from barrygould is also my thinking.

    I noticed that you just started by defining a single host in your network, fine.
    Mind that DNS server is not compulsory at (ASL) FW level, but that means that you should provide some DNS IP input in your host configuration.
    In this case, those DN requests should just pass through (the FW), not being dropped.

    Please double check that point and let us know.

    friscom

    PS: BTW, check the ICMP settings, allows everything, to start with, and try some ping from the firewall and then from the LAN host.
    Check if you can ping by using the IP address and/or by the name (to say: try www.google.com and also 216.239.59.104).
    Let us know, it's getting interesting!
  • 0 in reply to friscom
    some good and bad news. i enabled the dns proxy and added the dns server ips from my provider.



    i can ping now from al5 and also my machine sites,with the domain name and ip, but when i want to load the site despite the green entries nothing happens. i'm getting confused..[:)]
  • 0 in reply to FCs
    a- Have you any HTTP proxy setting active (on ASL, or on your hosts)?
    b -Can you try to telnet to some of those IPs (port 80)?  what do you see?

    friscom
  • 0 in reply to friscom
    a. only the dns proxy is enabled the others are disabled, i don't use http proxy
    b. i could connect to www.csua.berkeley.edu by telnet from my machine
  • 0 in reply to FCs
    Well, at this point, I have no further resources!

    I suppose others might have some suggestion.
    To me, the firewall seems to do its duty and it might have sense to try on the host side (if you use a PC, you could load a new browser from scratch, set it in the basic mode and see what happens).

    Honestly, I'd like to know where the problem lies.
    friscom
  • 0 in reply to friscom
    thanks for your help friscom. the problem is pretty annoying, i really want to know the answer after so much time spent on this
Reply Children
  • 0 in reply to FCs
    Make sure you do not have the HTTP proxy on in ASL, esp not in transparent mode.
    Turn off the virus protection also.

    Are you getting any dropped packets in the logs, or only green accepts?

    IPS on or OFF?

    If you can telnet, then you should be able to HTTP.

    Barry
  • 0 in reply to FCs
    What kind of connection do you have?

    Does it have a weird MTU size?

    Barry
  • 0 in reply to BarryG
    i got it. if i turn qos of everything works fine. maybe the speed settings are incorrect. i will try some other values but 768/128 is my offical speed
  • 0 in reply to FCs
    i asked my isp and they simply "forgot" to change my speed according to my new contract so i only had 512/64 instead of 768/128.. thanks for your help guys..[:)]
  • 0 in reply to FCs
    ..out of curiosity: you said somewhere that ASL was an alternative installation to your original "old" smoothwall.
    My question is: what about smoothwall?

    Now you know that the QoS settings made impossible to navigate through the firewall with a new ISP bandwidth management. ASL helpd you to solve that. 
    But smoothwall ...did not care about it ?

    friscom
  • 0 in reply to friscom
    smoothwall express, the version i was using has no qos setting by default, you have to manually hack it to have qos enabled wich procedure i not wanted to go through..[:)]