Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 2115 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Lockdown Astaro

joequick
I am using the HTTP/s proxy and AD Auth

I discovered a major gaff a little while ago where for some reason a computer didnt have the disable changing proxy settings enabled and basically had full access to everything. Boy I was pissed!!

Instead of firing myself[:(], I need to know how to lock down the Astaro so no HTTP/s traffic is allowed is leave the network unless it goes thru the Proxy unless a rule is setup allowing it to bypass the proxy.

Is this as easy as setting up a PF rule blocking all traffic 
Any >> Any >> Any >> Reject   ???
Of course this would be the last PF rule.

If so what is the difference between Reject and Drop ??


This thread was automatically locked due to age.
Parents
  • 0
    Hi Barry,

    Here they are in order...
    #1 BlockedNetworks >> Any >> Any >> Drop
    #2 Any >> Any >> BlockedNetworks  >> Drop
    #3 MyPC >> Port *** >> Any >> Allow (Connect to my PC at home)
    #4 MyPC >> Any >> LocalNetwork >> Allow
    #5 Router >> Any >> Any >> Allow (see note1 below)
    #6 InternalNetwork >> (IMAP,POP,SMTP) >> Any >> Allow (Added by installation wizard)
    #7 Lan >> (HTTP Proxy,HTTP, HTTP WebCache, HTTPS) >> Any >> (Allow Added by installation wizard)
    #8 Lan >> Any >> InternalBroadCast >> Allow
    #9 InternalNetwork >> SSH >> InternalAddress >> Allow
    #10 LAN >> DNS >> Any >> Allow
    #11 LAN >> NTP >> Any >> Allow
    #12 LAN >> PING >> Any >> Allow
    #13 RemoteOffices >> Any >> Any >> Allow

    Damn Barry...you the man!!
    I should have done this in the first place.
    I believe that #7 above is the culprit.. (but I am sure there is a reason its there. I will test further.)

    **Note1** the router is an old cisco router that use to be used for FrameRelay to other oraffices. The frame is dead i cut the wires my self. But all computers use it for their gateway. just too lazy to change it)

    **Note2** #13 doesnt good either. Not sure why that one is there ATM. But the computer in question is note at remote office.
  • 0 in reply to joequick
    You spotted it... you need to "clean up" your packetfilter rules.  Looks like you have the situation well in hand.

    If you like, you can leave that port 80 outbound rule in there, just define a Proxy profile in Transparent mode that will be default if users don't have their browsers configured.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

Reply
  • 0 in reply to joequick
    You spotted it... you need to "clean up" your packetfilter rules.  Looks like you have the situation well in hand.

    If you like, you can leave that port 80 outbound rule in there, just define a Proxy profile in Transparent mode that will be default if users don't have their browsers configured.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

Children
No Data