Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 2501 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[7.507] default drop not working on local interfaces

BarryG
I noticed recently that I could SSH from my home firewall to my LAN. 
I figured I must have left a PF rule for that on, but when I checked, there was no such rule.

Furthermore, I've now found that I can make TCP connections to any address/any port from the firewall, including ports for which I have no services defined. [:(]

To rule out a bad PF, I've tried adding a PF rule at the top:
source External (Address), any, any, logdrop.

I've disabled my 1 SNAT rule, and double-checked all my DNATs.

But I can still make outgoing connections on random ports.

I can't figure this out; anyone have an idea?

I can give SSH access to Astaro personnel.

I'll attach my iptables output in a minute.

Thanks,
Barry


This thread was automatically locked due to age.
Parents
  • 0
    Jack, thanks for responding.

    The way I look at it is that if someone found a way to get a non-root shell (e.g. from an attack against webadmin, smtp, dhcp, or one of the other services), they'd have full access to the LANs this way.

    If the firewall were locked down better, they'd have to get root first, and disable or modify the packetfilter.

    Barry
Reply
  • 0
    Jack, thanks for responding.

    The way I look at it is that if someone found a way to get a non-root shell (e.g. from an attack against webadmin, smtp, dhcp, or one of the other services), they'd have full access to the LANs this way.

    If the firewall were locked down better, they'd have to get root first, and disable or modify the packetfilter.

    Barry
Children
No Data