Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 4 subscribers
  • Views 7623 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

FIREWALL RULES DON'T WORK

koolman
Hi,
I was very excited when I saw your product description - so I installed Astaro Linux on my machine. Everything seemed to work fine except the firewall capabilities. For example I tried to filter the ICMP timestamp replies and some other ports and it didn't work.
Then I checked the iptables configuration (using iptables -L -n) and I saw that all chains policies are set to ACCEPT (except the FORWARD chain). And when I create a rule using the WEBADMIN - it inserts this rule in the chain USR_FORWARD (not in the Input chain) and this rule doesn't work.
My question is: if I have to configure the iptables from the command line and apply the rules from the command line - then what's the point to have a GUI? and what's the difference from any other Linux distribution with kernel 2.4.0?




This thread was automatically locked due to age.
  • 0 in reply to koolman
    Hi again,

    I also have a suggestion about the future releases of your distribution. It would be nice if you implement in the Webadmin a GUI frontend of the iptables for all the chains and subchains(in a separate menu option - "Advanced Config" for example). It will make the Astaro Linux a very flexible product because it will let sysadmins configure their own subchains, or modify the existing ones. I'm sure it'll be very cool.

    Greetings from your friend in L.A.,US
     
  • 0 in reply to koolman
    we cant add a support for single subchains, because the Subchains

    AUTO_INPUT
    TTT_ACCEPT
    AUTO_FORWARD
    USR_FORWARD
    AUTO_OUTPUT

    will be generated with the configfiles in /etc/wfe/conf (important are netdata, packetdata, servicedata) from our MiddleWare...

    for your icmp-question: did you switch off icmp on firewall?

    ------------------

    Markus Hennig
    Astaro Product Development
  • 0 in reply to Markus Hennig
    Hi Dave,
    thanks for the Rating! [;)]

    Hi koolman, 

    sorry i forgot that one.
    In the default configuration at startup, 
    we allow ICMP packts send to the firewall.

    This adds a rule Any ICMP Any Allow in TTT_ACCEPT.

    You can change this by disabeling ICMP on Firewall in WebAdmin/Packet Filter/ICMP.

    It than changes this rule to Any ICMP Any LOGDROP in TTT_ACCEPT.

    I know you will tell me now, that this doesn't make sense, because it blocks every ICMP traffic now and you can not accept some of it. And yes you are right, i will change that and in the next up2date the Any ICMP Any LOGDROP will be gone, then you can add filter in TTT_ACCEPT and ACCEPT or DROP them as you like. And if not it reaches the Subchain LOGDROP anyway.

    We also thought about this idea, thanks by the way, developing a advanced GUI, but than dropped this idea for now, because it is complex managing this, due to the automatic and dynamic generation of the iptables rules from group and service definitions.
    One Webadmin rule can generate many iptables rules.
    Changing on one of this rule can not be brought back to the easy WebAdmin interface, due to its simplicity.

    We haven't found a good way yet managing both
    easy and advanced Configuration.

    But we keep it in mind!

    Thanks 
    Gert



    ------------------
    -- 
    Gert Hansen  <>gert.hansen@astaro.de>   |  Product Development
    Astaro AG |  www.astaro.com  | Phone +49-721-490069-0 | Fax -55
  • 0 in reply to Gert Hansen
    thanks Gert, Markus and Dave

    I really think that what you are making is a VERY GOOD product. I've been waiting for something like this for years. 

    Good luck guys.


    Koolman (Nick)
Unfiltered HTML