Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 2514 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[7.507] default drop not working on local interfaces

BarryG
I noticed recently that I could SSH from my home firewall to my LAN. 
I figured I must have left a PF rule for that on, but when I checked, there was no such rule.

Furthermore, I've now found that I can make TCP connections to any address/any port from the firewall, including ports for which I have no services defined. [:(]

To rule out a bad PF, I've tried adding a PF rule at the top:
source External (Address), any, any, logdrop.

I've disabled my 1 SNAT rule, and double-checked all my DNATs.

But I can still make outgoing connections on random ports.

I can't figure this out; anyone have an idea?

I can give SSH access to Astaro personnel.

I'll attach my iptables output in a minute.

Thanks,
Barry


This thread was automatically locked due to age.
  • 0
    If you're confused, think how I feel[;)]

    source External (Address), any, any, logdrop

    I don't understand.  Where is that rule?  Where are you?  What are you reaching where?

    Cheers - Bob
  • 0
    This is also affecting our firewall at work (also 7.507).

    I put that rule in to eliminate any other rules that might be allowing outgoing traffic from the firewall.

    The problem is that if I am on the fw console, I can create ANY outgoing TCP connection.

    This is not how Astaro 6 works (just confirmed) and not how a firewall should work.

    Something is really wrong here.

    Barry
  • 0
    iptables output from home firewall attached

    sorry I had to ZIP it; this site wouldn't accept a 27k text file as an attachment.

    note that 66.x.x.182 is my EXT address.

    Barry
    iptables.zip
  • 0
    Opened support CaseID 00132941

    Barry
  • 0
    Interesting!  I never thought of trying that - I think you're too creative!
    source External (Address), any, any, logdrop

    I didn't think you could apply a PF rule to traffic not transitting the Astaro.

    What happens with 'External (Address) -> any -> any : SNAT from 255.255.255.255'?  (Or maybe some other IP.  I don't know what that might do.)

    Cheers - Bob
  • 0 in reply to BarryG
    Hey... noticed this on 7.507 now here as well.  Version 8.001 does not appear to have this issue (at least on the ones I've checked).
  • 0
    Hi Bob,
    That SNAT sounds like it would create traffic that the ISP would drop.

    Normally, you MUST create PF's for traffic FROM the firewall, e.g. if I want to ftp or SCP a log file from the firewall to a remote server, I normally create a PF rule for it.

    Barry
  • 0 in reply to BrucekConvergent
    Hey... noticed this on 7.507 now here as well.  Version 8.001 does not appear to have this issue (at least on the ones I've checked).


    Thanks Bruce. Can you let Astaro support know, re CaseID 00132941?

    Thanks,
    Barry
  • 0
    For the record, on 6.3, as expected, outgoing traffic on port 80 is dropped and logged:

    # curl Google

    2010:09:15-14:52:40 fw ulogd[2538]: DROP: IN= OUT=eth5 MAC= SRC=x.x.x.x DST=74.125.19.99 LEN=56 TOS=00 PREC=0x00 TTL=64 ID=14013 DF PROTO=TCP SPT=55464 DPT=80 SEQ=1599536615 ACK=0 WINDOW=5840 SYN URGP=0 

    Barry
  • 0 in reply to BarryG
    I've played with this one myself and asked around.  It is not just 7.507, but is the way V7 has been (not sure if from the beginning, but it is not new behavior, I've confirmed it in a handful of older systems).

    V7 systems have allowed outbound access for the system itself, that allows ssh, wget, etc. from the ASG without having to add PF rules.  This shouldn't be an issue if access to the shell is restricted as it should be.