Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 3481 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Firewall Rules and VPN

ciscoman
Hi,
perhaps a stupid question. However, i do not really know the process order of the packets when IPSec, Packetfilter and VLAN interfaces are inolved.
Simply imagine an existng IPSec tunnel between 2 ASG. On side B with VLAN interfaces, but this shouldn't care.
On both sides multiple networks. 
There is now a need to block some specific ports. But this didn't work as expected. I guess due to the fact that for the VPN the 'Automatic Firewall Rules' was set. correct?

So, is there a way to set a manual drop rule in front of the automatic rules?
How do I see the automatic firewall rules? Or is the only way to setup manual rules for every IPSec SA combination?

Best Regards,
ciscoman


This thread was automatically locked due to age.
  • 0
    Hi, turn off the Automatic Rule, and create PacketFilter rules to allow desired traffic.

    I'm not sure what you mean by every SA combination. You can use the VPN Pool Network definition, and create service groups if needed as well.

    Barry
  • 0
    Ciscoman, I call this Rule #2:

    In general, a packet arriving at an interface is handled only by one of the following, in order:
    DNATs first, then VPNs and Proxies and, finally, manual Routes and Firewall rules.


    Cheers - Bob
  • 0 in reply to BarryG
    Hi, turn off the Automatic Rule, and create PacketFilter rules to allow desired traffic.

    Barry


    When disbling automatic rules, formerly manual created rules do now work as expected.
    I need to check this feature for all VPN tunnels.

    Thanks
    ciscoman
  • 0 in reply to BAlfson
    Ciscoman, I call this Rule #2:

    In general, a packet arriving at an interface is handled only by one of the following, in order:
    DNATs first, then VPNs and Proxies and, finally, manual Routes and Firewall rules.


    Cheers - Bob


    Hm, I disabled the automatic rule creation in VPN Tab.
    I did an iptables -L befor and after this step
    a diff shows following:
     src match-set  dst policy match dir in pol ipsec mode tunnel
     src match-set  dst policy match dir out pol ipsec mode tunnel

    Best Regards,
    ciscoman