Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 2658 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

deny rule don´t work ;-(((

robbo
Hello all,

i have a problem with an deny rule.
i put on a version 6.102 as the first rule:

any - any - drop - dns-name-of-a-server

yes, i have activate the rule, but it don´t works.
i can do a ping, web-connect etc. i am very worry, but i don´t understand this. can anybody give me a hint, what i do wrong?

thanks therefor
robbo


This thread was automatically locked due to age.
Parents
  • 0
    [ QUOTE ]


    any - any - drop - dns-name-of-a-server

    yes, i have activate the rule, but it don´t works.
    i can do a ping, web-connect etc. i am very worry, but i don´t understand this. can anybody give me a hint, what i do wrong?

    thanks therefor
    robbo 

    [/ QUOTE ]

    Are you using the http proxy ?
    ICMP enabled in the paketfilter section ?
Reply
  • 0
    [ QUOTE ]


    any - any - drop - dns-name-of-a-server

    yes, i have activate the rule, but it don´t works.
    i can do a ping, web-connect etc. i am very worry, but i don´t understand this. can anybody give me a hint, what i do wrong?

    thanks therefor
    robbo 

    [/ QUOTE ]

    Are you using the http proxy ?
    ICMP enabled in the paketfilter section ?
Children
  • 0 in reply to ClausP
    yes, i use the http proxy, but if i ping this host, this sould not pass the proxy. But my intention is already to disable ALL traffic to this host, also the traffic that normaly goes through the proxy.
    do i use the wrong way?

    icmp is generally enabled, but should blocked to this host
  • 0 in reply to robbo
    This is because the automatic rules the Astaro internally sets due to any webadmin-configuration have a higher priority over the paket-filter section.

    So you can not block icmp via the packetfilter while you have icmp enabled, since there it says that all ICMP is allowed.

    But, you should try the other way around:

    Leave icmp disabled in the advanced settings of the packet-filter section, define a group icmp (with services icmp echo and icmp reply) and allow the single hosts, that you want to ping to.
  • 0 in reply to DrMabuse
    Hi,
    ok, i understand. but my intention was to block ANY traffik to one host in the internet.
    icmp is only one of this, the most important traffic is http. i don´t want that any client in my lan can reach the server.
    so do i block the access on my squid konfiguration (with a hack in squid.conf, that is not supported by astaro)? or is there an other way available to do this?
    robbo
  • 0 in reply to robbo
    there is no way to solve this via the webadmin-configuration. You can not overwrite the proxy-settings via your packetfilter-rules. BUT: you have the blacklist inside your http-proxy. This should fullfill your needs as far as the http-proxy is concerned. For the rest (except the other proxies) you can use your packet-filter rules to block this host.