Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 1 subscriber
  • Views 6739 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Default firewall rules

tom11011
Hi Group,

Have a question on point to point ipsec configurations.  When I choose to allow "Automatic firewall rules" in the connection, what exactly are those rules?  Allow any/any on the tunnel?

How exactly would one implement a stricter set of rules?  Do I simply have to make the rule in the firewall section?  Or, do I have to go into NAT (both masquerade and DNAT/SNAT?)

Is there a way to see all the rules that are implemented?  Any tips or guides appreciated.


This thread was automatically locked due to age.
Parents
  • 0
    Hi,

    When I choose to allow "Automatic firewall rules" in the connection, what exactly are those rules?  Allow any/any on the tunnel?


    Yes .
    (Any TCP/UDP. ICMP is controlled separately)


    How exactly would one implement a stricter set of rules?  Do I simply have to make the rule in the firewall section?  Or, do I have to go into NAT (both masquerade and DNAT/SNAT?)


    You do need to add a Masquerade if you want the VPN to access the Internet (you need it even if you chose 'auto firewall rule').

    Yes, you just create firewall rules using the VPN Pool as the source or destination.


    Is there a way to see all the rules that are implemented?  Any tips or guides appreciated.


    Automatic rules are not displayed up to 9.0x, however the 9.1 beta has added that as a new feature.

    Barry
Reply
  • 0
    Hi,

    When I choose to allow "Automatic firewall rules" in the connection, what exactly are those rules?  Allow any/any on the tunnel?


    Yes .
    (Any TCP/UDP. ICMP is controlled separately)


    How exactly would one implement a stricter set of rules?  Do I simply have to make the rule in the firewall section?  Or, do I have to go into NAT (both masquerade and DNAT/SNAT?)


    You do need to add a Masquerade if you want the VPN to access the Internet (you need it even if you chose 'auto firewall rule').

    Yes, you just create firewall rules using the VPN Pool as the source or destination.


    Is there a way to see all the rules that are implemented?  Any tips or guides appreciated.


    Automatic rules are not displayed up to 9.0x, however the 9.1 beta has added that as a new feature.

    Barry
Children
  • 0 in reply to BarryG
    Thanks for your response.

    Just to clarify, I'm not talking about remote access, talking about what the other end of a site-to-site ipsec tunnel can access.

    In the site-to-site setup, I have put in only a single ip address in the local networks, so this effectively limits the other side to only being able to access the single server I want them to access.  However, I want to lock it down to a single TCP port for sql server.

    You mentioned using vpn pool as the source or the destination, but I think that is for remote access only?

    I think what I want to do is put other sides IP address that's sits behind their peer in the source, then put the port number in the service, and then my ip address from the lan in the destination.

    But I'm thinking maybe there must be more to this?  Typically in a cisco config you have to tell the lan address not to nat in the tunnel, and I was wondering if something similar is required here.

    Thanks
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?