Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 3 subscribers
  • Views 760 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Reachability Conditional Port Forwarding feature

hasek
Hello Everybody,

For advanced security packet inspection, i was wondering if it is possible to add some cool conditions for port forwarding.

I Explain myself, when you forward ports for Wan to Lan (or from internet to internal lan), the astaro firewall  forwads the incoming tcp connection on External Wan Adress and forwards it to your internal lan host. 

The problem is even if the internal host is down or the service running on the internal host is down, the packet are forwarded through if your DNAT rule is still activated with you incoming Filter rule.

if the internal machine is down, astaro firewall just forwads packets to it, but if the internal service is down, the internal host may respond by an icmp port unreacheable to the outside world, showing everybody you have an open port

Is it possible to make astaro drop incoming tcp connections if in a in rule the internal host machine or service is unreacheable (due to power off, or service down) ?


This thread was automatically locked due to age.
Parents
  • 0
    Is this something to hide the fact that you have something running on an obscure port for your own use, or would it be applied to anything, even public things like 80/443. Trying to understand your use case on this, please let me know.
  • 0 in reply to AngeloC
    Hello AngeloC,

    First of All, thanx for replying.

    The purpose of this use case is not only for obscure ports, but it could be usefull for common ports as well (http / https)

    The purpose for this use case is to automatically shut down incoming rules, throw DNAT or incoming packet filter forwarding to internal lan machine :

    if for example the internal host is not icmp reacheable, or have not sent syn ack, showing the internal machine is powered off

    if the internal host has sent an icmp port unreacheable, the firewall should guess the rule is useless for the momment, and should drop incomming connections

    so this is for me the reachability check / conditional port forwarding [:D]
Reply
  • 0 in reply to AngeloC
    Hello AngeloC,

    First of All, thanx for replying.

    The purpose of this use case is not only for obscure ports, but it could be usefull for common ports as well (http / https)

    The purpose for this use case is to automatically shut down incoming rules, throw DNAT or incoming packet filter forwarding to internal lan machine :

    if for example the internal host is not icmp reacheable, or have not sent syn ack, showing the internal machine is powered off

    if the internal host has sent an icmp port unreacheable, the firewall should guess the rule is useless for the momment, and should drop incomming connections

    so this is for me the reachability check / conditional port forwarding [:D]
Children
No Data