Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 5 replies
  • Subscribers 0 subscribers
  • Views 1129 views
  • Users 0 members are here
Options
Suggested

[8.920][FEATURE] Network definition 'Advanced' needs explanation.

BAlfson
Anyone that reads this will chuckle because this issue, binding definitions to interfaces, is my pet peeve, the bête noire of my time spent on the User BB...

There's plenty of room to add a simple warning: [FONT="Arial Narrow"]Attention - incorrect use of this option causes routing problems[/FONT]:



That may not be the best, but something pithy that alerts the admin to the fact that this option is not for neophytes!

If I had my druthers, I would add a context-sensitive help here labeled More information and that would include a full explanation, including the limited cases for use of the option.  The help also would have suggestions for alternatives; for example, for creating an 'Additional Address' and then using the "Interface [Additional] (Address)" object created by WebAdmin instead of a Host definition bound to an interface.

Cheers - Bob
  • 0
    Hi BAlfson,

    It's not planned to give any further notification/warning in WebAdmin and I know it may sound succinct, but you can find a short explanation in the official manual on page 112:
    Interface (optional): You can bind the network definition to a
    certain interface, so that connections to the definition will only be
    established via this interface.


    The explanation doesn't include a warning that this option may result in routing problems, but therefore it states 'optional'.

    Cheers,
    Cristof
  • 0 in reply to cziel
    I'd tend to agree with Bob's approach.  Can't really see myself pointing out to clients with problems "aaah, but haven't you read P 112 of the manual" or whatever page it happens to be in the new version.

    The issue is not common, but common enough for a warning to be displayed.
  • 0 in reply to BangkokBob
    The issue is not common, but common enough for a warning to be displayed.


    Misuse of Interface bindings is very common. I run into a support case at least 1-2 times a week where Interface bindings are causing unintended behaviour.

    Interface bindings are very powerful, but most people really have no need for them. [:)]
  • 0
    If you don't think it's common, try a google here, limited to the last year, on site:astaro.org "Interface: >"

    If you have a toddler, it's definitely better to put sharp knives in a drawer than leave them on the counter.  If the drawer is low enough for the toddler to get in to, don't be surprised to see him using your butcher knife to cut things and himself! [;)]

    Come on guys, the hard part is done, now let's fix this once and for all!

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Love the analogy Bob.  Now every time I see an instance of someone shooting themselves in the foot with an interface binding, I can have a little chuckle while imagining a rampaging horde of machete wielding toddlers.

    That being said, I agree that a WebAdmin warning and link to the Help file explanation would be a good way of reducing the number of customer issues that occur due to this setting.  Also, it would be extremely helpful in diagnosing these issues if there could be an entry in the live Firewall log that something is being blocked due to an interface binding, similar to the way that NAT and Firewall rules are annotated (e.g. "NAT Rule #1").  Which would you find more useful when wanted traffic is being denied, "Default DROP" or "Default DROP - Binding"?
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?