Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 2 subscribers
  • Views 1472 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[8.102] Packet Filter rules/rule order seems to be ignored.

Soong
I had a series of packet filter rules that were setup in such a way that a local machine named tVM was only allowed to talk to one external host (on the internet) using two particular protocols (specifically GRE and PPTP). The idea was to only allow communication to the outside world through a VPN tunnel. I noticed that sometimes if the VPN connection disconnected, some traffic was still passing to the outside world. In troubleshooting this I have gone so far as disable all of my DNAT/SNAT rules, all but one masquerading rule, and all but 3 packet filter rules. 

This is the only masquerading rule I have enabled:

Right now, all hosts using this ASG are on this one local network interface labeled Quad 1 (LAN).

These are the packet filter rules I have enabled:

There were/are of course several other rules I was using to filter it down to just the protocols and host needed for the VPN connection but in order to see if the rules were actually being ignored I disabled all but these. The "tVM" host is defined with the correct IP address of tVM and tVM has only one network interface. Even with these two simple rules to drop all inbound and outbound traffic, it still is able to preform DNS resolution, load web pages, and communicate through many protocols to any host. If it turn off the rule allowing anything on the local network to get out, then all outbound network traffic is blocked as I would expect. My understanding is that the rules should be applied in numerical order and once a rule is matched to drop traffic, the rule should be applied and any following rules should not be considered. The rules to block traffic to and from tVM are before the rule allowing traffic and yet the rule with the higher/larger number seems to take precedence.

What crucial bit of information am I missing?


This thread was automatically locked due to age.
  • 0
    Are you sure the TVM definition is for the correct IP?

    Note that DNS will work if the DNS proxy is running on the LAN..

    Barry
  • 0 in reply to BarryG
    Are you sure the TVM definition is for the correct IP?

    Note that DNS will work if the DNS proxy is running on the LAN..

    Barry


    Well Barry, as usual, you're right on the money. The HTTP proxy is enabled on the ASG and tVM was configured to use it. Thanks for nailing that down so quickly.

    I am taken aback by this. Previously I thought of the proxy as an added layer of security but to know that it bypasses the the packet filter is [:S].

    But thanks again for sorting that out for me.