Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 983 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Astaro and NAT pinning

T-Roc_01
Hi,
we just experienced some kind of problem with our ASG. Version 7.505

We tried this: NAT pinning
Here is another explanation of Nat Pinning in German: NAT-Pinning, Angriffe auf Cisco-WLANs und ein Tool - Dipl.-Inform. Carsten Eilers

It worked even though we have IRC and all other IM blocked.

Is there any way to block this?

Thanks
Tobias


This thread was automatically locked due to age.
Parents Reply
  • 0 in reply to Jack Daniel
    Hi, I just updated to 7.507 but the problem still exists.

    Any other hints? Maybe IPS or just blocking the port 6667? But 6667 is not a well known Port so can I just block it without any other traffic being interrupted?


    Thanks
Children
  • 0 in reply to T-Roc_01
    Hi, I just did some testing on this.

    Enabling IPS doesn't do a thing. :-(

    Blocking all IM doesn't do a thing. :-(

    Blocking the port 6667 from internal to any does stop the natpinning. 
    But I am not quite sure if this could also block other traffic since 6667 is not a well known port an could be used by any client to communicate?

    Well I guess since I am only blocking the destiantion port and if I am not using any dcc chat it's safe to block the port from internal.

    Bye
    Tobias
  • 0 in reply to T-Roc_01
    Blocking all outbound ports except those absolutely necessary is always my recommended configuration.  Blocking 6667 shouldn't be an issue, I generally only allow fewer than ten ports outbound on simple networks, up to maybe 50 for complex networks.

    I did play with NAT pinning when Samy released that, but it didn't work on my systems- looks like my tight ruleset was blocking it.
  • 0 in reply to Jack Daniel
    Allright, I guess I will tighten up my ruleset.

    Thanks.