Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 1614 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Allow Internal (Network) -> Any; why add'l rule for Public?

LewisRosenthal
I know I'm missing something simple between a couple setups. On my own servers (Novell Security Manager 6.303) I have at the top of my NAT list:

Internal (Network) -> All / All   MASQ__Public

and a packet filter rule:

Source: Internal (Network) -> Service: Any -> Destination: Any

So far, so good. From my servers, I can run curl from a console login on the box. However, on two brand new ASL 6.303 installs, this is insufficient, and I had to add the following packet filter rule to get non-ICMP traffic moving to/from the console:

Source: Public (address) -> Service: Any -> Destination: Any

Now, obviously, the public interface is not on the internal network, so there's no duplication of rules; however, from the console, why is this necessary (BTW, I could not even get traffic to pass through a VPN tunnel from the console without this)? I suppose what makes me the most curious is that I did not need to do this on my own setups, which have several exclusions for SNATs for my internal servers, and otherwise are quite similar to these two new configurations.

Thoughts?

TIA


This thread was automatically locked due to age.
Parents
  • 0
    Did you enable icmp in the networks menu?

    I would suggest you have read of the manual or at least use the on-line help which is built into v6.303, you will find it very informative.

    Ian M
  • 0 in reply to RFCat_vk_01
    Thanks, Ian, and yes I have ICMP set up properly (and in fact, my issue is not with ICMP at all, but with non-ICMP services; ICMP works fine from the console). I have also read quite a bit of the documentation. I am an Astaro partner, and have configured several of these installations (both Novell and now Astaro branded).

    ICMP is configured to pass through and also send and receive from the firewall.
Reply
  • 0 in reply to RFCat_vk_01
    Thanks, Ian, and yes I have ICMP set up properly (and in fact, my issue is not with ICMP at all, but with non-ICMP services; ICMP works fine from the console). I have also read quite a bit of the documentation. I am an Astaro partner, and have configured several of these installations (both Novell and now Astaro branded).

    ICMP is configured to pass through and also send and receive from the firewall.
Children
  • 0 in reply to LewisRosenthal
    Lewis,
    sorry I misunderstood about running from the ASG console, I thought it was from the linux box console.

    I suppose it really comes down to how the console is seen in the overall security map of the ASG. From what you are saying it looks like it is considered to be a seperate security entity within the ASG that needs its own access control.

    Ian M