Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 1606 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Limit PPTP to a interface

Javier Fernandez
Question in a nutshell: 
How can I limit the opening of PPTP session to a given interface?

Let me explain:
I got Intern, Extern and DMZ. So I activate PPTP to allow Intern users to access DMZ. The reason to use PPTP is that I must encript the traffic from Intern users to DMZ. So a rule like "PPTP-Poll Any DMZ Allow" is defined.

Now, as a side effect a user from Extern can start a PPTP session and access DMZ what shouldn't be allowed.

I tried to solve it by setting up a rule like "Any PPTP Extern_Interface_ Drop" but is not working. I think you cannot set up rules like that since you are trying to block services in a interface address of the firewall which I think doesn't work.

Any idea to avoid connections to PPTP comming from networks different than Intern???

Thank you.  


This thread was automatically locked due to age.
  • 0
    Hi Javier,

    PPTP is listening on every interface by default. The rule which is created automatically for using PPTP is used first. So your own rule isn't considered.

    Greetings
    Xeno  
  • 0 in reply to Xeno
    I saw that on Reporting/Network and I saw 0.0.0.0:1723. But by the time I read your answer I find out the file /var/chroot-pptp/etc/pptp.conf and pptp.conf-default where you find a text saying that if you append the sentence listen  the pptpd will listen only on that interface.

    I will try this later when no user is accessing PPTP. I'll let you know.

    Anyway, unfortunelly, it seems that there is no form at WebAdmin to limitate that and I should access directly the PPTPD configuration although I don't like too much kidding with the config files from linux.

    Thank you.
    Javier   
  • 0 in reply to Javier Fernandez
    Solved. Adding "listen " into /var/chroot-pptp/etc/pptpd.conf-default and reseting the pptpd makes the pptpd listening only in the  you enter.

    Anyway if someone knows a non-hacking solution will be appretiate since I don't like hacking solutions since, as an example, the pptpd.conf-default file is not stored in the backup abf file so I need to take care of that change on backups and restores.

    Thank you, Javier  
  • 0 in reply to Javier Fernandez
    Javier Fernandez,

    but the auto packet filter Astaro sets are still the same, means open.
    If you telnet port 1723 another interface than your pptp interface 
    you'd receive a connection refused. So there is no security advancement,
    if that was what you wanted to achieve with your changes

    Greetings
    cyclops  
  • 0 in reply to cyclops
    Off course I took care of the rules too. But thank you for the warning anyway.

    The question was that I setup the rules but rules apply to packets going through the firewall it not apply to packet arriving from a network to the interface of the firewall in that network. That was the reason to change the "listen" to avoid that interface at Internet listeing on that port. I check it issuing tcp connect commands from Internet and it works. Now I have only the port 25 open, which is what I need.  
Cookie Information Banner