Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 1347 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Is this rule safe?

x-cimo
Internal(Network) -> Any -> External (WAN) (Address) as the first (top) rule.

The purpose of the rule is to let internal user, connect to external (internet domain name) hosted inside the network.

Let's say: www.hello.com, is at 192.168.1.10 (with DNAT).

Currently if internal user go to www.hello.com, the packet filter block SYN from Internal IP, to the WAN interface IP.

This rule the packet pass.  But does it open a big hole?

Thanks


This thread was automatically locked due to age.
Parents
  • 0
    'Internal(Network) -> Any -> External (WAN) (Address)' should not change anything.

    In which mode is your HTTP/S Proxy?  Go to the Astaro KnowledgeBase and search on: internal server

    Cheers - Bob
  • 0 in reply to BAlfson
    Hey BAlfson!

    It was changing something, (removing packet drop), but proxy was giving me some errors.

    So I did look at the KBs, stuff is kinda outdated there, but it was good enough so I find about FULL-NAT.

    I had a DNAT rules from internet to my local server on HTTP,

    I remplaced that by a FULL-NAT such as:

    Traffic src: ANY
    Traffic svc: 8080 (My external port 80 is blocked)
    Traffic Destionation: External(WAN Addr)
    FULL NAT
    Destination: Local server
    Destination Service: HTTP (Redirect what got in on 8080 to 80 on local server)
    Source: Internal(Addr)
    Source Svc: BLANK
    Auto pkt rule: checked.

    This seem to do the same as my DNAT, but in addition to letting my internal network use that rule. (I kinda still have difficulties understanding the SNAT).

    But I think that if I try to go on my WAN Addr on 8080 from the internal side, the SNAT kicks in and sends me to the Destination:Local server.

    All this work without the rule mentioned in first post.
Reply
  • 0 in reply to BAlfson
    Hey BAlfson!

    It was changing something, (removing packet drop), but proxy was giving me some errors.

    So I did look at the KBs, stuff is kinda outdated there, but it was good enough so I find about FULL-NAT.

    I had a DNAT rules from internet to my local server on HTTP,

    I remplaced that by a FULL-NAT such as:

    Traffic src: ANY
    Traffic svc: 8080 (My external port 80 is blocked)
    Traffic Destionation: External(WAN Addr)
    FULL NAT
    Destination: Local server
    Destination Service: HTTP (Redirect what got in on 8080 to 80 on local server)
    Source: Internal(Addr)
    Source Svc: BLANK
    Auto pkt rule: checked.

    This seem to do the same as my DNAT, but in addition to letting my internal network use that rule. (I kinda still have difficulties understanding the SNAT).

    But I think that if I try to go on my WAN Addr on 8080 from the internal side, the SNAT kicks in and sends me to the Destination:Local server.

    All this work without the rule mentioned in first post.
Children
No Data