Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 1371 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Auto Packet Filter

Alvin
Hi

I got my SSL VPN to work.

My Objective is to allow my Laptop SSL to my Home Astaro and use the HTTP/ HTTPS Proxy, FTP Proxy, SMTP and POP Proxy etc .

I do NOT need this SSL VPN to access my LAN.

I am 100% sure I do Not have a ANY - ANY Allow Rule or SSL -> LAN Allow Rule.

But I tested and I confirmed that I can access my LAN Devices such as my Access Point Interface etc.

This works No matter Auto Packet Filter Rule is ON or Not.

The LOCAL Network in SSL I set to ANY is because I want to force ALL TRaffic on my laptop to go via SSL.

Is this the reason I get to access everything behind my firewall once there is SSL?

I always thought only when Auto Packet Filter, then only I can go anywhere.


This thread was automatically locked due to age.
Parents
  • 0
    If you disbale the "auto packet filter" in the SSL settings, and you although can reach devices on your internal LAN, then there is surely different packetfilter rule which allows the traffic. 
    You can proof my theory if the chang Bob Alfson suggested (replace "any" by "Internet") still does not make any difference. 

    Also, you should specify what you mean with "But I tested and I confirmed that I can access my LAN Devices such as my Access Point Interface etc.". If the "access" is only a simple ping you probably have ICMP/Ping enabled in the ICMP settings tab. If you can access it via HTTP, perhaps a proxy profile matches your request?
  • 0 in reply to Ölm
    Hi Balfson and OLM

    1) I changed from ANY to Internet and it is the same.

    2) My Packet Filter rules are just 
        POP over SSL to GMAIL since POP Proxy cannot handle that.
        IMAP over SSL to my ISP E-mail since I do not have a LAN to any allow.

    3) From my SSL, I can Ping my LAN Access Point if I Enable all the ICMP Settings on the Packet Filter -> ICMP Tab.

    4) I can access my LAN Access Point Web Interface with a browser http://LAN Acess Point IP.

    5) Yes it did occur to me Maybe the HTTP Proxy can access my LAN Access Point thus the SSL -> HTTP Proxy -> LAN Access Point -> Return to my SSL.

    But when I saw PING also works, I am confused.

    Other than PING and HTTP Interface, I have no idea how to test.
  • 0 in reply to Alvin

    But when I saw PING also works, I am confused.
    Other than PING and HTTP Interface, I have no idea how to test.


    It´s pretty simple to test:
    disable all check box under networksecurity-packetfilter-icmp settings.
    If you cannot ping the access point any more, then it´s clear that these check box settings have allowed you to ping (and nothing else was the reason)

    Then, have a look into the http proxy log file. If you see the http requests from your SSL VPN PC to the access point in this logfile, then you know that the proxy is the reason for the allowed connection. If you don´t see this connection in this log, we have to search further on why you are allowed to access the access point via http. Another idea would to completely disable the http proxy - if you cannot access the accesspoint via http any more then, this was the reason :-)
Reply
  • 0 in reply to Alvin

    But when I saw PING also works, I am confused.
    Other than PING and HTTP Interface, I have no idea how to test.


    It´s pretty simple to test:
    disable all check box under networksecurity-packetfilter-icmp settings.
    If you cannot ping the access point any more, then it´s clear that these check box settings have allowed you to ping (and nothing else was the reason)

    Then, have a look into the http proxy log file. If you see the http requests from your SSL VPN PC to the access point in this logfile, then you know that the proxy is the reason for the allowed connection. If you don´t see this connection in this log, we have to search further on why you are allowed to access the access point via http. Another idea would to completely disable the http proxy - if you cannot access the accesspoint via http any more then, this was the reason :-)
Children
  • 0 in reply to Ölm
    OLM

    - Thank You for the guidence, sometime test too much can get me very confused.

    - I disabled All my Packet Filter Rule.

    - I do a constant PING to my LAN Device.

    - I played with the settings in ICMP, it is responding Only when Firewall Forwards PING works, so that is the reason for PING.

    - Next I move on to Disable HTTP Proxy and I confirmed I cannot access my LAN Device HTTP Interface so it is HTTP Proxy that bridge me from SSL to my LAN Network.

    - This is a "hole" for me because I absolutely do Not want VPN to access anything on my LAN. I just want them to have the protection of the Firewall such as those IPS, Proxy etc.

    - Example: I do Not want SSL VPN to access my IP Camera which can have a HTTP Interface.

    - Any advice how to force the HTTP Proxy ONLY go to Internet?

    THANK YOU Balfson and OLM, much more relief knowing what is wrong now.

    Quite Disturbing when I know there is a "hole" to my LAN.