Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 1369 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Auto Packet Filter

Alvin
Hi

I got my SSL VPN to work.

My Objective is to allow my Laptop SSL to my Home Astaro and use the HTTP/ HTTPS Proxy, FTP Proxy, SMTP and POP Proxy etc .

I do NOT need this SSL VPN to access my LAN.

I am 100% sure I do Not have a ANY - ANY Allow Rule or SSL -> LAN Allow Rule.

But I tested and I confirmed that I can access my LAN Devices such as my Access Point Interface etc.

This works No matter Auto Packet Filter Rule is ON or Not.

The LOCAL Network in SSL I set to ANY is because I want to force ALL TRaffic on my laptop to go via SSL.

Is this the reason I get to access everything behind my firewall once there is SSL?

I always thought only when Auto Packet Filter, then only I can go anywhere.


This thread was automatically locked due to age.
  • 0
    If you don't want to access your internal network via the VPN, use "Internet" instead of "Any" in 'Local networks'.

    Cheers - Bob
    PS Now that we have the standardized "Internet" Network Definition, the recommendation is, instead of using "Any" in 'Local networks' to use "Internet" and "Internal (Network)" and "DMZ (Network)" etc.
  • 0
    If you disbale the "auto packet filter" in the SSL settings, and you although can reach devices on your internal LAN, then there is surely different packetfilter rule which allows the traffic. 
    You can proof my theory if the chang Bob Alfson suggested (replace "any" by "Internet") still does not make any difference. 

    Also, you should specify what you mean with "But I tested and I confirmed that I can access my LAN Devices such as my Access Point Interface etc.". If the "access" is only a simple ping you probably have ICMP/Ping enabled in the ICMP settings tab. If you can access it via HTTP, perhaps a proxy profile matches your request?
  • 0 in reply to Ölm
    Hi Balfson and OLM

    1) I changed from ANY to Internet and it is the same.

    2) My Packet Filter rules are just 
        POP over SSL to GMAIL since POP Proxy cannot handle that.
        IMAP over SSL to my ISP E-mail since I do not have a LAN to any allow.

    3) From my SSL, I can Ping my LAN Access Point if I Enable all the ICMP Settings on the Packet Filter -> ICMP Tab.

    4) I can access my LAN Access Point Web Interface with a browser http://LAN Acess Point IP.

    5) Yes it did occur to me Maybe the HTTP Proxy can access my LAN Access Point thus the SSL -> HTTP Proxy -> LAN Access Point -> Return to my SSL.

    But when I saw PING also works, I am confused.

    Other than PING and HTTP Interface, I have no idea how to test.
  • 0 in reply to Alvin

    But when I saw PING also works, I am confused.
    Other than PING and HTTP Interface, I have no idea how to test.


    It´s pretty simple to test:
    disable all check box under networksecurity-packetfilter-icmp settings.
    If you cannot ping the access point any more, then it´s clear that these check box settings have allowed you to ping (and nothing else was the reason)

    Then, have a look into the http proxy log file. If you see the http requests from your SSL VPN PC to the access point in this logfile, then you know that the proxy is the reason for the allowed connection. If you don´t see this connection in this log, we have to search further on why you are allowed to access the access point via http. Another idea would to completely disable the http proxy - if you cannot access the accesspoint via http any more then, this was the reason :-)
  • 0 in reply to Ölm
    OLM

    - Thank You for the guidence, sometime test too much can get me very confused.

    - I disabled All my Packet Filter Rule.

    - I do a constant PING to my LAN Device.

    - I played with the settings in ICMP, it is responding Only when Firewall Forwards PING works, so that is the reason for PING.

    - Next I move on to Disable HTTP Proxy and I confirmed I cannot access my LAN Device HTTP Interface so it is HTTP Proxy that bridge me from SSL to my LAN Network.

    - This is a "hole" for me because I absolutely do Not want VPN to access anything on my LAN. I just want them to have the protection of the Firewall such as those IPS, Proxy etc.

    - Example: I do Not want SSL VPN to access my IP Camera which can have a HTTP Interface.

    - Any advice how to force the HTTP Proxy ONLY go to Internet?

    THANK YOU Balfson and OLM, much more relief knowing what is wrong now.

    Quite Disturbing when I know there is a "hole" to my LAN.
  • 0
    The clients in your internal network should be able to reach all internal resources without transiting the Astaro (assuming you don't have a DMZ), so you could add that to your URL blacklist.  For example, if 'Internal (Network)' = 192.168.1.0/24, you could add 
    http://192.168.1

    This is a special case of a paper I created with esev concerning the use of the HTTP Proxy by a GUEST network.  If anyone would like a copy of that paper, feel free to click on my name and send me an email.

    Cheers - Bob
  • 0 in reply to BAlfson
    Thank You Balfson,

    For some reasons, messing with the HTTP Proxy for one day, it did not occur to me it can be as simple as Block URL.

    - I kept messing with Packet Filters which breaks stuff.
    - I kept messing with the Skip Transparent Proxy thinking I can do it the way I did for SMTP Proxy. Which break stuff too.

    - I added 192.168.A.* for my LAN.
    - I added 192.168.B.* for my DMZ which does not have anything but good to get it right.
    - I also added the 10.242.* network which is all the default VPN Networks, I believe it would be good to have this so that unless specifically allowed, this proxy won't be a "hole" to other places.

    Thank You, really glad to learn  new things from this incident and now the firewall is even more secure.