HOw to setup Astaro Question

not looking to QOS... just need to be able to WAF, IPS, and mail security..[:)]

you can indeed do a totally public bridge.

just give the ASG a public IP in that range on the bridge, bridge 2 ports together, open the packet filter, and voila. No need to do NAT.

so i would bridge wan and dmz together and basically vampire one of my available ips?

Hello William,

I trust you know what you are doing but I hope this setup is for a customer request.

In my opinion, never ever place Public IPs on any computer for any reason. Your computer, unless its now a Router, it is just bad practice.

Don't hate me but I've been there and done that. I received threatening calls when my Public server was compromised by ****** emails. [:)]

It can happen so just assume it will happen anyway. PS I had no mail server either.

Sickos have nothing better to do than to attack anything that has a public IP.

I'm sure you knew this anyway but hey the customers is always right.

Mike

Your satement above talks mainly out of total fear...aka never put any machine on the net by itself...however that's not only unrealistic but inconsistent with modern security and hardening abilities of many modern operating systems today.  Actually quite a few internet servers are right on the public net(including windows servers).  I have 4 Linux boxes directly on the inet...it IS possible to properly secure a Linux machine and stick it out on the public internet by itself.  The Astaro is for additional security..base security is just fine.  I am mainly after the WAF capabilities of Astaro...the mail security would be a nice bonus..[:)]  I have no delusions though.  Even with an Astaro in front of the server either in a natted mode or a fully public bride the box can and most likely will still be eventually compromised.  My job is to make it as difficult as i can and/or minimize the threat profile.  

I would never put a winders machine naked on  the inet(even with it's built in firewall) however...that much i do agree with.  However it IS possible to properly harden even a windows machine as well.  it's a ton more work due to the inherent design flaws of windows but it can be done.  Keep in mind that every firewall product I have seen(with the exception of the ill fated windows firewall products) are totally linux/bsd/unix based.  This means by extension that if you properly do a base setup you can have reasonably good security "naked".  Do some further hardening plus additional layers of security you can further reduce your threat profile.

If you say so I'll believe you for linux maybe. I tinkered with the Ransome love Caldera software old school and left the building. Nothing was written back then except the os. I have played with hole punch cards in 70's so I might know just a little something.

I'm a windows guy so I speak from Windows heart.

You have your opinion and I'm sure there are many benefits for putting public IPs on a server box however again in my opinion I strongly disagree with wins server or any exposed production machine. You seem to agree with this MS point so we concur here.

For example any DOS attack (very common) will most centainly use valuable system resources to the point of possible hardware failure. Log files will build insanely fast on a windows machine to the point of no hd space left. The inferior windows firewall cannot compare to astaro. Thus if you have a high traffic site(s) that are not load balanced you could be rebuilding from scratch. I have vast experience with public ip utilized on leased dedicated servers & co located. I have watched CPU load go to 50% straight as attacks were stopped. So I ask the question Why do this? Some kid can just stress test your exposed public machine non stop. If it's simple non important stuff then fine but not me. I've learned.

Thus, using astaro as a backup ok fine but I rather it be in the front line rather than depending upon using any software based firewall in conjunction with OS. Im not saying you.. but from my experience I did this years ago.

(I used several IBMS blackice as primary at hosted colocated internet company and results were "got ya" its only a matter of time.) 

Basically the protection of NAT is removed from that computer and
external hosts can initiate conversations with it (on any port). Network between exterior and interior firewalls are where publicly accessible servers are usually placed. Besides you can get many more LAN IPS from just one public Ip however I see a concern with abuse and spamhaus blacklisting IP with this method.

Public IP addresses are used only for communication with external world so kiddies can see you at all times. 
 
Linux is the underdog of hackers so you have time maybe forever but if it  become popular watch out. [[:)]]

Don't hate me but soak up my experience for your benefit. [[:)]]

Mike

I don't remember how to use multi quote so bear with me..[[:)]]

If you say so I'll believe you for linux maybe. I tinkered with the Ransome love Caldera software old school and left the building. Nothing was written back then except the os. I have played with hole punch cards in 70's so I might know just a little something.

I'm a windows guy so I speak from Windows heart.

You have your opinion and I'm sure there are many benefits for putting public IPs on a server box however again in my opinion I strongly disagree with wins server or any exposed production machine. You seem to agree with this MS point so we concur here.

For example any DOS attack (very common) will most centainly use valuable system resources to the point of possible hardware failure. Log files will build insanely fast on a windows machine to the point of no hd space left. The inferior windows firewall cannot compare to astaro. Thus if you have a high traffic site(s) that are not load balanced you could be rebuilding from scratch. I have vast experience with public ip utilized on leased dedicated servers & co located. I have watched CPU load go to 50% straight as attacks were stopped. So I ask the question Why do this? Some kid can just stress test your exposed public machine non stop. If it's simple non important stuff then fine but not me. I've learned.

First off a dos attack isn't going to cause hardware failure unless your cooling is already sub-par and that's rare.  Secondly 50% cpu?  that's nothing.  try a 400 load on Linux with ZERO cpu..[[:)]]  

Thus, using astaro as a backup ok fine but I rather it be in the front line rather than depending upon using any software based firewall in conjunction with OS. Im not saying you.. but from my experience I did this years ago.

(I used several IBMS blackice as primary at hosted colocated internet company and results were "got ya" its only a matter of time.) 

Basically the protection of NAT is removed from that computer and
external hosts can initiate conversations with it (on any port). Network between exterior and interior firewalls are where publicly accessible servers are usually placed. Besides you can get many more LAN IPS from just one public Ip however I see a concern with abuse and spamhaus blacklisting IP with this method.

Public IP addresses are used only for communication with external world so kiddies can see you at all times. 

Linux is the underdog of hackers so you have time maybe forever but if it become popular watch out. 

You are talking from some inexperience here.  Allow me to explain:
 Software firewall?  What is windows firewall?  software.  What is a sonicwall?  it is a preconfigured hardware appliance running..guess what makes it tick...software.  The Astaro asg 1xx and higher appliances are pre-configured hardware servers running guess what?  The same Astaro "software" you claim is ineffective.  Guess what blackice firewall is?  software.  There's really no such thing as a hardware firewall because without the accompanying underlying software you have a box that can't do anything.  nowhere did i say I am using Astaro as a backup.  I am putting Astaro in front of hte mahcine in question.  the Astaro will intercept..scan..and then pass all traffic that is deemed "good' by the config i eneter into the webadmin.  This means I can leverage the IPS and other security tools in the astaro which more fully detect, classify and eliminate threats than NAT could ever do.  Also with ipv6 no too far off the idea of NAT is going to go away.  When the most likely minimum allocation to your location is a million or more ips NAT is more of a hinderance than a help.  NAT is security by obscurity which is a known false security tool anyway.  NAT also breaks quite a bit meaning you have to fool with port forwading and whatnot.  With the Astaro in front everything is scanned first then gets passed to the Linux machine whose firewall is already setup to drop all packets not destined for one of the 10 open ports..and that's all that's needed no need to foll with NAT.  You think NAt protects you from the outside...only if you don't open any ports at all.  The instant you do..your machine is fully visible to said "kiddies"  Linux is the underdog?  not on the Inet friend.  Unix/Linux at any given time power more than 50% of ALL servers of any kind on the public internet.Critical infrastructure is run on Unix/Linux(root dns servers for one).  I've seen Linux powering 80% or more of the ENTIRE Internet's webserver infrastructure at times(according to netcraft).  Windows is the underdog by it flawed design...it is also the easiest to take over...it's also targeted the most because of the huge installed base on the DESKTOP but it is a minority in terms of public facing content servers of any kind.

Again,

I think you are missing the point.

So you are saying that you have no problems using mission criticial applications blended in with a software firewall on one computer?

who's inexperienced?

Thank you very much

Mike

you are...that's been proven.  Obviously you aren't going to listen either.  I've pointed out the fallacies of your arguments and your terminology.  If you want to argue things that i didn't say the door is off to your left...see ya.,

William,

I'm not arguing. I just want you to realize that when someone tries to help you or give advice (taken or not) you should be a little courteous. That's all.  No need to be rude implied or not. Please don't ever tell anyone what they know or don't know. [:)] It won't fly with me sorry. 

Now if you want to get in a pissing match about all the reasons Not to have a public Ip's on a enterprise hardware box I'm sure we can battle till the sun goes down .... but my whole point to begin with was that is not typical to do so.  Thats all.

You don't have to like my opinion you just have to respect it as I do all on this board.  After all we come here for information knowledge to make our self better and to help others...Correct? Not to argue about pros and cons of a particular setup. 

Hey that could actually become a separate thread?

Peace

Mike