Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 3481 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Firewall Rules and VPN

ciscoman
Hi,
perhaps a stupid question. However, i do not really know the process order of the packets when IPSec, Packetfilter and VLAN interfaces are inolved.
Simply imagine an existng IPSec tunnel between 2 ASG. On side B with VLAN interfaces, but this shouldn't care.
On both sides multiple networks. 
There is now a need to block some specific ports. But this didn't work as expected. I guess due to the fact that for the VPN the 'Automatic Firewall Rules' was set. correct?

So, is there a way to set a manual drop rule in front of the automatic rules?
How do I see the automatic firewall rules? Or is the only way to setup manual rules for every IPSec SA combination?

Best Regards,
ciscoman


This thread was automatically locked due to age.
Parents
  • 0
    Ciscoman, I call this Rule #2:

    In general, a packet arriving at an interface is handled only by one of the following, in order:
    DNATs first, then VPNs and Proxies and, finally, manual Routes and Firewall rules.


    Cheers - Bob
  • 0 in reply to BAlfson
    Ciscoman, I call this Rule #2:

    In general, a packet arriving at an interface is handled only by one of the following, in order:
    DNATs first, then VPNs and Proxies and, finally, manual Routes and Firewall rules.


    Cheers - Bob


    Hm, I disabled the automatic rule creation in VPN Tab.
    I did an iptables -L befor and after this step
    a diff shows following:
     src match-set  dst policy match dir in pol ipsec mode tunnel
     src match-set  dst policy match dir out pol ipsec mode tunnel

    Best Regards,
    ciscoman
Reply
  • 0 in reply to BAlfson
    Ciscoman, I call this Rule #2:

    In general, a packet arriving at an interface is handled only by one of the following, in order:
    DNATs first, then VPNs and Proxies and, finally, manual Routes and Firewall rules.


    Cheers - Bob


    Hm, I disabled the automatic rule creation in VPN Tab.
    I did an iptables -L befor and after this step
    a diff shows following:
     src match-set  dst policy match dir in pol ipsec mode tunnel
     src match-set  dst policy match dir out pol ipsec mode tunnel

    Best Regards,
    ciscoman
Children
No Data