Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 1 subscriber
  • Views 1370 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Auto Packet Filter

Alvin
Hi

I got my SSL VPN to work.

My Objective is to allow my Laptop SSL to my Home Astaro and use the HTTP/ HTTPS Proxy, FTP Proxy, SMTP and POP Proxy etc .

I do NOT need this SSL VPN to access my LAN.

I am 100% sure I do Not have a ANY - ANY Allow Rule or SSL -> LAN Allow Rule.

But I tested and I confirmed that I can access my LAN Devices such as my Access Point Interface etc.

This works No matter Auto Packet Filter Rule is ON or Not.

The LOCAL Network in SSL I set to ANY is because I want to force ALL TRaffic on my laptop to go via SSL.

Is this the reason I get to access everything behind my firewall once there is SSL?

I always thought only when Auto Packet Filter, then only I can go anywhere.


This thread was automatically locked due to age.
Parents
  • 0
    The clients in your internal network should be able to reach all internal resources without transiting the Astaro (assuming you don't have a DMZ), so you could add that to your URL blacklist.  For example, if 'Internal (Network)' = 192.168.1.0/24, you could add 
    http://192.168.1

    This is a special case of a paper I created with esev concerning the use of the HTTP Proxy by a GUEST network.  If anyone would like a copy of that paper, feel free to click on my name and send me an email.

    Cheers - Bob
  • 0 in reply to BAlfson
    Thank You Balfson,

    For some reasons, messing with the HTTP Proxy for one day, it did not occur to me it can be as simple as Block URL.

    - I kept messing with Packet Filters which breaks stuff.
    - I kept messing with the Skip Transparent Proxy thinking I can do it the way I did for SMTP Proxy. Which break stuff too.

    - I added 192.168.A.* for my LAN.
    - I added 192.168.B.* for my DMZ which does not have anything but good to get it right.
    - I also added the 10.242.* network which is all the default VPN Networks, I believe it would be good to have this so that unless specifically allowed, this proxy won't be a "hole" to other places.

    Thank You, really glad to learn  new things from this incident and now the firewall is even more secure.
Reply
  • 0 in reply to BAlfson
    Thank You Balfson,

    For some reasons, messing with the HTTP Proxy for one day, it did not occur to me it can be as simple as Block URL.

    - I kept messing with Packet Filters which breaks stuff.
    - I kept messing with the Skip Transparent Proxy thinking I can do it the way I did for SMTP Proxy. Which break stuff too.

    - I added 192.168.A.* for my LAN.
    - I added 192.168.B.* for my DMZ which does not have anything but good to get it right.
    - I also added the 10.242.* network which is all the default VPN Networks, I believe it would be good to have this so that unless specifically allowed, this proxy won't be a "hole" to other places.

    Thank You, really glad to learn  new things from this incident and now the firewall is even more secure.
Children
No Data