Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 2 subscribers
  • Views 1725 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

packet filter problems

mantus
hi!

i have some problems with the packetfilter.
in my internal network the users should have msn, e-mail and some other services.

the masquerading rule looks fine! 
the services too i think.

e-mail with standard ports works, but only with any-any-allow rule, not with an explicit direction.

msn and bittorrent doesn't work.
services:
Name                  Protocol    Source Port    Destination Port

MSN-Default        TCP                 1:65535          1863
MSN-Filetransfer TCP                 1:65535           6891:6900
MSN-Voice           TCP/UDP         1:65535           6901
Bittorrent            TCP/UDP          6881:6889      6881:6889
SMTP-gmail          TCP                 1:65535          587
POP-gmail            TCP                 1:65535          995

in the firewall rules i have for all these services any-any-allow, but only the gmail rules work.         

where are my mistakes?
and why email only works with any/any?

thanks for your help!


This thread was automatically locked due to age.
Parents
  • 0
    swing is a web interface for azureus. with that plugin azureus can be remote controlled.

    it works fine now (swing)!
    for swing i had to make 2 SNAT/DNAT rules.
    first the rule to  change the destination adress, and in the second rule these adress must be changed to the external interface adress. that was all.

    thanks for your help! i've learned much about NAT and packetfilters from you! 
    (in the practice its a bit different than on the papers[;)])
  • 0 in reply to mantus
    So that's what swing is. Well, I haven't loaded that Azureus web server plugin, since I run Azureus on a Windows XP workstation that I make a remote desktop connection to when I want to control it from somewhere else.

    As a general rule, it is poor practice, from a security perspective, to make filter and SNAT rules that open up your firewall like a swiss cheese. The fewer ports you have open, the less security problems you are likely to have. I therefore prefer to make a VPN connection in to my home LAN when I am elswhere, and then accessing the services I need from inside the VPN.

    Having said that, I have still ended up with a number of open ports in through my ASL box. This is the short list of ports that I have had to open:

    20 & 21 TCP - for FTP server access
    80  TCP - for public access to my web server
    88 TCP - for remote webmail access (NetMail)
    4569 UDP - for IAX VOIP trunking (Asterix PBX)
    6881 TCP - for Bit Torrents (Azureus)

    I keep everything else closed.
Reply
  • 0 in reply to mantus
    So that's what swing is. Well, I haven't loaded that Azureus web server plugin, since I run Azureus on a Windows XP workstation that I make a remote desktop connection to when I want to control it from somewhere else.

    As a general rule, it is poor practice, from a security perspective, to make filter and SNAT rules that open up your firewall like a swiss cheese. The fewer ports you have open, the less security problems you are likely to have. I therefore prefer to make a VPN connection in to my home LAN when I am elswhere, and then accessing the services I need from inside the VPN.

    Having said that, I have still ended up with a number of open ports in through my ASL box. This is the short list of ports that I have had to open:

    20 & 21 TCP - for FTP server access
    80  TCP - for public access to my web server
    88 TCP - for remote webmail access (NetMail)
    4569 UDP - for IAX VOIP trunking (Asterix PBX)
    6881 TCP - for Bit Torrents (Azureus)

    I keep everything else closed.
Children
  • 0 in reply to VelvetFog
    with the ports you are right!
    but azureus, ftp, email and web services will be placed in the DMZ soon, so that only some ports to my internal network must be opened.(MSN-Messenger, ports that my son needs for playing games)

    i think that it will be secure enough.(its only a private network for testing and learning)
    VPN-Access will be the next to learn in practice for me.
    but i think its not the best way to configure a VPN connection everywhere i am. but its the securest way, thats right.