Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 2109 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

packet filter rules for web access

amp10000
I would like to ask about some packet filtering rules. I go in and configure a rule that states internal network provide my service group and action than I select wan network. If I use wan network as my destination I can't get on the web but if I change it to any I surf the web fine.
So I would like to ask why does this happen most firewalls I've seen you simpley say internal network to wan network?


This thread was automatically locked due to age.
Parents
  • 0
    So has anyone seen this before
  • 0 in reply to amp10000
    The reason you can't surf or access the www when using the WAN network is because the WAN network is a specific address and all you are doing is asking the firewall to allow packets out to that address.
    What you need to do is select any for the destination and that will allow you to go basically anywhere in www.
    Do not select any as the internal source because that means you are allowing (all) www traffic into your lan.

    The other thing is have you created a NAT/MASQ rule?

    Ian M[[[:)]]][[[:)]]][[[:)]]]
  • 0 in reply to RFCat_vk_01
    Thanks for the reply as I've stated on most firewalls I've came across for exampe sonicwall you could just say wan. I actually have mine in a back to back firewall setup so when I say wan I'm pointing to the border router. 
    You have a beefy astaro box what are you running site to sites?
  • 0 in reply to amp10000
    The interface setup allows for specific blocking or access configuration eg you can cut down on junk in the packet filter log by filtering all MS junk that hits the external interface without affecting your normal traffic. That way you can see where the real threats are coming from a lot easier.

    The beefy box was originally built from left overs. I had an amd 754 2800+ left after I upgraded to a 939 so I thought I would use it as a firewall. But found it too noisy with the display fan and the power fans, so I bought an all in one motherboard and a fanless power supply.
    I was testing v7b original beta and found with my setup I was running out of memory and into swap. So I added some extra memory to take it to 1256, than downgraded it to 1024 now that the later betas are running more efficiently. I added the disk because I wanted to be able to swap between v6.303 and v7b if it be3came unusable which is has a couple of times. The 160gb SATA was cheaper or about the same price and more power efficient than the 80gb pata.
    I run a number of proxies, packet filters and time managed web profiles for 3 pc, 2 laptops, linux box and a test/teaching box.

    Ian M[[[:)]]][[[:)]]][[[:)]]]
  • 0 in reply to RFCat_vk_01
    Ca you tell me a little more about this what do you mean exactly and what are you filtering out

    "filtering all MS junk that hits the external interface without affecting your normal traffic. That way you can see where the real threats are coming "



    Also how is thv7 running for you
  • 0 in reply to amp10000
    A lot of firewalls let netbios and other MS ports loose on the www, I call these MS noise. They beat against my firewall all the time, so I created a filter under v6.x and v7 comes with one. You activate the filter to drop all this type of traffic and you are left with the real attacks on your firewall.

    V7 is working, but has a number of holes which are being reduced in each new release except v6.915 which appears to be a backward step as far as http is concerned.

    V7 is a different approach to management compared to v6.x. The dashboard when completed will be excellent for overview management.

    Anything else you are interested in that I can help with.

    Ian M[[[:)]]][[[:)]]][[[:)]]]
Reply
  • 0 in reply to amp10000
    A lot of firewalls let netbios and other MS ports loose on the www, I call these MS noise. They beat against my firewall all the time, so I created a filter under v6.x and v7 comes with one. You activate the filter to drop all this type of traffic and you are left with the real attacks on your firewall.

    V7 is working, but has a number of holes which are being reduced in each new release except v6.915 which appears to be a backward step as far as http is concerned.

    V7 is a different approach to management compared to v6.x. The dashboard when completed will be excellent for overview management.

    Anything else you are interested in that I can help with.

    Ian M[[[:)]]][[[:)]]][[[:)]]]
Children
  • 0 in reply to RFCat_vk_01
    One last thing I'm going to be doing some site to site vpns the problem is on my side I have a dynamic IP. I know v6 supports dydns I use zonedit.com have been with them for 4 plus years. So does version 7 support more dynamic dns offering I would like to see easydns and zonedit be supported?
  • 0 in reply to amp10000
    At this stage dyndns.com only. I know there were requests for other dnydns providers to be added, not sure where that request sits in the overall scheme of v7 functionality.

    Ian M[:)]