Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 2 subscribers
  • Views 2653 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

"Any" Service still blocking outgoing connections

Red_Sky
Hi All,

Under "packet filter" rules, I have created a ANY rule for internal traffic to external (lan ---> wan)

But i find I am still having to create seperate rules for RDP and DNS and the like. 

I keep on having to look at the "Packet Filter Live Log" to see what is getting blocked all the time.

Is this normal, or do I have a config problem.

I am using the Astaro home version with the purchased AV and Anti Spam upgrade.

Kind Regards

Clinton


This thread was automatically locked due to age.
Parents
  • 0
    Ok, I fixed it, if anybody else has this issue it's because I did not have the destination in my packet filter set to ANY, it was going to WAN(Network).
  • 0 in reply to Red_Sky
    I don't understand this situation -- I have set the rule to "any" also but I don't want "any", I want it to go to the WAN!  

    If I say "any" and I add a DMZ, then how would I separate anything from anything else?  I would want internal machines to go to the WAN, but the DMZ machines (which would be my web server, etc.) to go ONLY to the WAN, not have access to the internal network -- otherwise why have a DMZ if you can't strangle its internal access?

    I'm confused.  I have set up lots of firewalls with this kind of situation, what's happening here that I don't get?
  • 0 in reply to jmirick

    If I say "any" and I add a DMZ, then how would I separate anything from anything else?  I would want internal machines to go to the WAN, but the DMZ machines (which would be my web server, etc.) to go ONLY to the WAN, not have access to the internal network -- otherwise why have a DMZ if you can't strangle its internal access?


    I think that you do not have a rule which permits ip's out off the DMZ as source for connections, or just a proxy?

    DMZ ip's are in nearly 99,99% the destination and do not start a connection.

    In your case the rule is 'any -> DMZ:  Service (ex: Port:80) permit' and NOT 'DMZ -> Any: Service (ex. Port 80) permit' !
  • 0 in reply to ClausP
    Agreed that most DMZ connections are inbound, e.g. a web server; but what about a mail server who wants to send?  That's a new connection from the DMZ.  And, I don't want the DMZ machines to be able to contact regular (e.g. office network) machines, they always have to initiate the conversation (e.g. POP3 to get their mail from the server).  Does your rule structure above hold for this also?

    I guess I'm used to a situation where I can construct a rule that, for example, limits SMTP inbound to one server box only, then limits POP from the office lan to the DMZ only to that server, etc.  I'm just experimenting with this so I haven't tried it out but that's my confusion.  The syntax in Astaro's commands seems awkward.
  • 0 in reply to jmirick
    Agreed that most DMZ connections are inbound, e.g. a web server; but what about a mail server who wants to send?  That's a new connection from the DMZ.  And, I don't want the DMZ machines to be able to contact regular (e.g. office network) machines, they always have to initiate the conversation (e.g. POP3 to get their mail from the server).  Does your rule structure above hold for this also?

    I guess I'm used to a situation where I can construct a rule that, for example, limits SMTP inbound to one server box only, then limits POP from the office lan to the DMZ only to that server, etc.  I'm just experimenting with this so I haven't tried it out but that's my confusion.  The syntax in Astaro's commands seems awkward.


    The easierst and quickest way is to use the asl proxy (smtp/pop3) for in- and outbound traffic. ;-)
  • 0 in reply to jmirick
    [FONT="Courier New"]
    I don't understand this situation -- I have set the rule to "any" also but I don't want "any", I want it to go to the WAN!  

    If I say "any" and I add a DMZ, then how would I separate anything from anything else?  I would want internal machines to go to the WAN, but the DMZ machines (which would be my web server, etc.) to go ONLY to the WAN, not have access to the internal network -- otherwise why have a DMZ if you can't strangle its internal access?

    I'm confused.  I have set up lots of firewalls with this kind of situation, what's happening here that I don't get?


    You have to implement multiple rules in the right order.
    If you want the mailserver in the DMZ is able to send Mail and you want block traffic from DMZ to LAN, make two rules:

    Source.............Service...Destination....Action
    DMZ(Network).......any.......LAN(Network)...deny
    Mailserver(Host)...SMTP......any............allow

    hth
    Chregu

    [/FONT]
  • 0 in reply to ch-hunn
    I agree with ClausP: use the proxies that are integrated into ASG!

    You wrote you purchased an AV License, you won't be able to scan your mails/http traffic for viruses unless you use the proxies! (Read again?!)
  • 0 in reply to ch-hunn
    [FONT="Courier New"]

    You have to implement multiple rules in the right order.
    If you want the mailserver in the DMZ is able to send Mail and you want block traffic from DMZ to LAN, make two rules:

    Source.............Service...Destination....Action
    DMZ(Network).......any.......LAN(Network)...deny
    Mailserver(Host)...SMTP......any............allow

    hth
    Chregu

    [/FONT]


    Sorry, this is a really crazy solution :-)

    In this case you are able to control the source + destination and you want to deny the packets which are going from the dmz to the internal lan ??

    Normaly you should deny the source to contact the destination and not the other way. ;-)
  • 0 in reply to ClausP
    Sorry, this is a really crazy solution :-)

    In this case you are able to control the source + destination and you want to deny the packets which are going from the dmz to the internal lan ??

    Normaly you should deny the source to contact the destination and not the other way. ;-)



    NACK!
    jmirick wants the DMZ machines to go anywhere but the LAN.
    So, first, he has to block all traffic from DMZ to LAN. With the second rule, he allows the DMZ Machines (or only one Host) to the WAN (say the internet) with a specific protocol. The SMTP was only an example!
    If you have multiple networks attached to a ASG/ASL, you have to define source AND destination in a rule.



    Originally Posted by jmirick
    I don't understand this situation -- I have set the rule to "any" also but I don't want "any", I want it to go to the WAN! 

    If I say "any" and I add a DMZ, then how would I separate anything from anything else? I would want internal machines to go to the WAN, but the DMZ machines (which would be my web server, etc.) to go ONLY to the WAN, not have access to the internal network -- otherwise why have a DMZ if you can't strangle its internal access?

    I'm confused. I have set up lots of firewalls with this kind of situation, what's happening here that I don't get?
Reply
  • 0 in reply to ClausP
    Sorry, this is a really crazy solution :-)

    In this case you are able to control the source + destination and you want to deny the packets which are going from the dmz to the internal lan ??

    Normaly you should deny the source to contact the destination and not the other way. ;-)



    NACK!
    jmirick wants the DMZ machines to go anywhere but the LAN.
    So, first, he has to block all traffic from DMZ to LAN. With the second rule, he allows the DMZ Machines (or only one Host) to the WAN (say the internet) with a specific protocol. The SMTP was only an example!
    If you have multiple networks attached to a ASG/ASL, you have to define source AND destination in a rule.



    Originally Posted by jmirick
    I don't understand this situation -- I have set the rule to "any" also but I don't want "any", I want it to go to the WAN! 

    If I say "any" and I add a DMZ, then how would I separate anything from anything else? I would want internal machines to go to the WAN, but the DMZ machines (which would be my web server, etc.) to go ONLY to the WAN, not have access to the internal network -- otherwise why have a DMZ if you can't strangle its internal access?

    I'm confused. I have set up lots of firewalls with this kind of situation, what's happening here that I don't get?
Children
  • 0 in reply to ch-hunn
    NACK!
    jmirick wants the DMZ machines to go anywhere but the LAN.
    So, first, he has to block all traffic from DMZ to LAN. With the second rule, he allows the DMZ Machines (or only one Host) to the WAN (say the internet) with a specific protocol. The SMTP was only an example!
    If you have multiple networks attached to a ASG/ASL, you have to define source AND destination in a rule.


    Do really think that your solution works ??

    Think about the order of the rules:  first matches -> first serves

    ------online help--------------------------------------------------
    Each packet filter rule consists of

    * an order number, describing the priority of the rule. Lower numbers have higher priority. Rules are matched in ascending order. When a rule has matched, processing stops, meaning that rules with a higher order are not evaluated any more. 
    ------online help--------------------------------------------------

    DMZ Host is part of the DMZ network or not ?  [;)]
  • 0 in reply to ClausP
    [FONT="Courier New"]
    Do really think that your solution works ??

    Think about the order of the rules:  first matches -> first serves

    ------online help--------------------------------------------------
    Each packet filter rule consists of

    * an order number, describing the priority of the rule. Lower numbers have higher priority. Rules are matched in ascending order. When a rule has matched, processing stops, meaning that rules with a higher order are not evaluated any more. 
    ------online help--------------------------------------------------

    DMZ Host is part of the DMZ network or not ?  [;)]


    OK. Step by Step.
    I want the DMZ Host will reach the internet and not the LAN.
    In my Ruleset i have the following rules:

    Definitions:
    LAN 192.168.1.0/24
    DMZ 192.168.2.0/24
    HOST 192.168.2.10/32


    Rule#...Source.........Service.......Destination....Action
    ..n.....some rules here
    ..5.....DMZ(Network)...any...........LAN(Network)...deny
    ..6.....DMZ(Host)......someService...any............allow
    ..m.....more rules

    If HOST sends a packet to a address in the LAN, (Source 192.168.2.10, Destination 192.168.1.120) the Packet will be dropped by rule 5, because the source address ist a Part of the DMZ(Network) and the destination address is a part of the LAN(Network). Protocol is any. So we have a rule match and ASG will perform the defined action. 

    If HOST sends a packet to www.test.com, (Source 192.168.2.10, Destination 208.48.34.132) the packet will not be affected by rule 5, because the destination is not a part of the LAN(Network). There is no rule match and ASG will continue processing with rule 6.
    Here, in Rule 6 we have a match in Source and Destination, so the Packet will be forwarded.

    [/FONT]
  • 0 in reply to ch-hunn
    sorry, that was my mistake ! The heat is on......