Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 2 subscribers
  • Views 2216 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Reject All Rule?

vader9000
Hello,
I was under the impression that e rule like this would effectively block all traffic??

Internal NetWork
Any
Any
Reject


Reject Rule.png.png

But as you can see the interfaces keep showing traffic!

Trafic With Reject Rule in Place.png.png


Is the rule incorrect or its something else ??

If the rule is wrong which parameters should I use to prevent all traffic from passing, and it shows no traffic (On the external interface the one showing 1 Mbit with the rule in place)

Thanks


This thread was automatically locked due to age.
  • 0
    Things like DNS Lookups, NTP traffic, Webadmin traffic, etc. will still show... as enabling networks to access the DNS Proxy, NTP Proxy, Webadmin automatically enabled "hidden" packet filter rules that allow the traffic before your DENY / REJECT all rule is enforced.
  • 0
    Also proxied traffic (http, smtp, ftp, etc.) can generate traffic that is not blocked/logged in the paketfilterlog (it is logged in the specific logfile for the services). 

    Remember the often mentioned rule of in which order traffic is processed by the asg (DNAT->Proxy->PF).

    Up2Date checks/downloads also create traffic. You should be able the see the source of the traffic if you start the flowmonitor (click on the traffic bar of 'all interfaces' or 'internal' or 'external' - that should give you an idea what the souce of the traffic is.

    Regards
    Manfred
  • 0
    Vader, there are ways to get "in front of" those automatic rules, but why do you want to?  What is it that you want to block that wouldn't be automatically blocked by the Astaro?

    Cheers - Bob
  • 0 in reply to BAlfson
    Thanks for your Reply,

    I understand that there is traffic that still goes through, but all dnat rules disabled and with the rule rejecting all the traffic, the outbound traffic should be minimal not a constant 1,3 Mbit.
    This value its constant 24/7 it stays at between 1Mbit and 1,3 Mbit

    All so notice that while the flow monitor detects 283 KB the external interface 1,3 Mbit and it stays steady at that value.
    All so while the internal interface 313 Kbit the external interface is at 1,3 Mbit
    So it arrives at the box but does not go any where????

    Flow Monitor.jpg
  • 0 in reply to vader9000
    Mail traffic, updates, etc. could cause that.  You can "drill down" further in the flow monitor to see what exact traffic, source, and destination you are dealing with.
  • 0 in reply to BAlfson
    Vader, there are ways to get "in front of" those automatic rules, but why do you want to?  What is it that you want to block that wouldn't be automatically blocked by the Astaro?

    Cheers - Bob


    Hi,
    I’m not trying to block anything just trying to understand why this happens, I don’t think this should be the normal, not sure.
    Upload traffic that does not come from the internal interface but goes out from the external?
    All so while I have a lot of download bandwidth upload is pretty limited .
  • 0
    Please note that this happens while
    Reject rule is in place
    All dnat rules disabled
    Manual updates

    And this is not for some time this is constant 24/7
  • 0
    Just tried this:

    Computer --> Switch --> Astaro --> Internet

    NO OTHER COMPUTER CONNECTED

    Still the same values
  • 0 in reply to BrucekConvergent
    Mail traffic, updates, etc. could cause that.  You can "drill down" further in the flow monitor to see what exact traffic, source, and destination you are dealing with.


    All so  I understand that dns/mail etc generates traffic

    My question is :
    It only generates on the external interface ?
    Should it not show up on the internal ?
    So it goes from internal machines to external interface and then internet jumping over the internal interface??
  • 0
    I have seen an unknown misconfiguration cause the external interface to proxy HTTP traffic.  Try restoring a configuration backup from before this issue began.  If you don't have one, or if you still see the same phenomenon, then try running tcpdump on that interface to see what traffic is going out.

    Cheers - Bob