Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 2115 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Lockdown Astaro

joequick
I am using the HTTP/s proxy and AD Auth

I discovered a major gaff a little while ago where for some reason a computer didnt have the disable changing proxy settings enabled and basically had full access to everything. Boy I was pissed!!

Instead of firing myself[:(], I need to know how to lock down the Astaro so no HTTP/s traffic is allowed is leave the network unless it goes thru the Proxy unless a rule is setup allowing it to bypass the proxy.

Is this as easy as setting up a PF rule blocking all traffic 
Any >> Any >> Any >> Reject   ???
Of course this would be the last PF rule.

If so what is the difference between Reject and Drop ??


This thread was automatically locked due to age.
Parents
  • 0
    Hi Barry,

    Here they are in order...
    #1 BlockedNetworks >> Any >> Any >> Drop
    #2 Any >> Any >> BlockedNetworks  >> Drop
    #3 MyPC >> Port *** >> Any >> Allow (Connect to my PC at home)
    #4 MyPC >> Any >> LocalNetwork >> Allow
    #5 Router >> Any >> Any >> Allow (see note1 below)
    #6 InternalNetwork >> (IMAP,POP,SMTP) >> Any >> Allow (Added by installation wizard)
    #7 Lan >> (HTTP Proxy,HTTP, HTTP WebCache, HTTPS) >> Any >> (Allow Added by installation wizard)
    #8 Lan >> Any >> InternalBroadCast >> Allow
    #9 InternalNetwork >> SSH >> InternalAddress >> Allow
    #10 LAN >> DNS >> Any >> Allow
    #11 LAN >> NTP >> Any >> Allow
    #12 LAN >> PING >> Any >> Allow
    #13 RemoteOffices >> Any >> Any >> Allow

    Damn Barry...you the man!!
    I should have done this in the first place.
    I believe that #7 above is the culprit.. (but I am sure there is a reason its there. I will test further.)

    **Note1** the router is an old cisco router that use to be used for FrameRelay to other oraffices. The frame is dead i cut the wires my self. But all computers use it for their gateway. just too lazy to change it)

    **Note2** #13 doesnt good either. Not sure why that one is there ATM. But the computer in question is note at remote office.
  • 0 in reply to joequick
    #5 may be a problem as well; if the Cisco router is doing NAT/PAT then you're allowing ALL internal traffic which goes through it to go out through Astaro.

    Barry
  • 0 in reply to BarryG
    Thanks for your replies guys.

    Bruce: I removed the HTTP from #5 and my hole is now closed.

    Barry: The router basically just points to other subnets and hosts for DNS. I have attached the config file with the old frame-relay stuff removed.

    I now have an issue with WindowsUpdate not working.
    IP #s being snagged by the PF on port 80 they seems to be going to MicroSoft and LimeLight Networks???
Reply
  • 0 in reply to BarryG
    Thanks for your replies guys.

    Bruce: I removed the HTTP from #5 and my hole is now closed.

    Barry: The router basically just points to other subnets and hosts for DNS. I have attached the config file with the old frame-relay stuff removed.

    I now have an issue with WindowsUpdate not working.
    IP #s being snagged by the PF on port 80 they seems to be going to MicroSoft and LimeLight Networks???
Children
No Data