Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 3 subscribers
  • Views 813 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Feature Request: Packet Filter Monitor

mugabemkomo
Hi,
so my Problem is, I have a lot of unused Packet Filter Rules i want to disable, but I dont know exactly which one is really unused.
So instead of grepping through the Log Files, I would like to have some utility or Report when (at which date) this (or all) Packet Filter Rule was last used.
So i can easily say if the Rule was last used like 3 months ago it isnt in use anymore.

Thanks


This thread was automatically locked due to age.
Parents
  • 0
    So instead of grepping through the Log Files, I would like to have some utility or Report when (at which date) this (or all) Packet Filter Rule was last used.
    So i can easily say if the Rule was last used like 3 months ago it isnt in use anymore.


    I have a dream...

    This is a feature I am searching for years! We have many firewalls with more than 100 packet filter rules and no one knows which packet filter rules are really needed actually. It's always the same, the firewall-administrators are the last who are informed if a special application is not in use anymore and the needed packet filter rules can be deleted.

    From year to year the are more and more packet filter rules and no one knows which are in use. Searching in log files is difficult, because a single packet filter rules has no unique identifier. The iptables fwrule-number changes every time a new rule is added above an old rule. A search for not used packet filter rules only works if no new rules are added for a long period...

    Regards,
    Manuel
  • 0 in reply to m.fischer
    Thanks, Manuel, you've hit on something important: every rule should have a name - PF rules, D/SNAT rules, etc.  The PF logs should name the rule being logged as well as its number.

    With every client I can think of, I have set up at least one PF rule with a service group.  What about a rule that's used daily, but one of the services hasn't been used for awhile?  Instead of tracking the last use of PF rules, what about doing that for IPs in definitions and service definitions (not groups)?

    Cheers - Bob
    PS I just ran an experiment with V7.401 that might help you get rid of unnecessary rules.  I defined:

    Host: testytesty 10.0.0.123
    Host: testytoasty 10.0.0.124
    Service: testy 55555
    PF Rule: 'testytesty -> Any -> testytoasty : Allow'
    PF Rule: 'Any -> testy -> testytoasty : Alow'


    When I deleted the host 'testytesty', the first PF rule was deleted automatically.  When I deleted the service 'testy', the second one also was deleted automatically.
Reply
  • 0 in reply to m.fischer
    Thanks, Manuel, you've hit on something important: every rule should have a name - PF rules, D/SNAT rules, etc.  The PF logs should name the rule being logged as well as its number.

    With every client I can think of, I have set up at least one PF rule with a service group.  What about a rule that's used daily, but one of the services hasn't been used for awhile?  Instead of tracking the last use of PF rules, what about doing that for IPs in definitions and service definitions (not groups)?

    Cheers - Bob
    PS I just ran an experiment with V7.401 that might help you get rid of unnecessary rules.  I defined:

    Host: testytesty 10.0.0.123
    Host: testytoasty 10.0.0.124
    Service: testy 55555
    PF Rule: 'testytesty -> Any -> testytoasty : Allow'
    PF Rule: 'Any -> testy -> testytoasty : Alow'


    When I deleted the host 'testytesty', the first PF rule was deleted automatically.  When I deleted the service 'testy', the second one also was deleted automatically.
Children
No Data