Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 2 subscribers
  • Views 6560 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Transparent firewall setup possible?

rayik
I have used astaro at home for the last several years and like most features available.  I was able to recently obtain a Cisco 5505 with extra liscensing for a reasonable cost.

The Cisco is a pure firewall  There is no IPS nor web filtering (unless you want to spend $1000 for the IPS module or a substantial yearly web filtering fee).  I would like to place an astaro between the cisco and cable router and use the astaro's IPS and web filtering (and hopefully logging and reports).  In other words, in Cisco speak, use the Astaro as a transparent firewall.

Setup would be:

Cisco 5505 ----->   Astaro ------->   Cable Modem

The internet IP address is not static.  It is DHCP assigned by the cable modem to the first device it connects to.  If you unplug the cable modem and plug it into a different device, that device either has to renew the DCHP lease or the modem has to be turned off / on.

I do not want to double NAT with the astaro.  I would like it to be a true transparent firewall (such as the Cisco can do).  I could only find two old posts in the forum about this.  They may have been set up with double NAT.

The Astaro will have 3 NICs: 1 for managment and 2 for data.

I tried these things and they did not work:

(1) Bridge 2 NICs.  Did not create interface.  Under advanced bridge properties lift MAC blank. No traffic passed through Astaro

(2) Bridge 2 NICs.  Did not create interface.  Under advanced bridge properties cloned MAC address of Cisco interface that is connect to the astaro. No traffic passed through Astaro.

(3) Bridge 2 NICs.  Create interface.  Left MAC as created.  No traffic passed through Astaro.

(4) Bridge 2 NICS.  Create interface.  Cloned MAC to Cisco interface that connects to Astaro.  No traffic passed throug Astaro.

I did find online instructions on how to create a transparent firewall with pfSense.  I'm hoping it can be done with Astaro.  Thank you for any help.


This thread was automatically locked due to age.
  • 0
    Bridging 2 NICs does work (I've got a customer or 2 with that very configuration, sitting behind a Cisco firewall of some flavor or another).  Note that, like most firewalls, the UTM is a default-drop firewall.  You will have to create firewall rules (to allow all traffic, create a Any -> Any Service -> Any rule) to allow traffic through the system.

    Do not clone the MAC in your case.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0
    When bridging, keep in mind that you still need to allow the specific traffic flow (Packet filter, HTTP-Proxy, DNS...).
  • 0 in reply to BrucekConvergent
    Thank you BrucekConvergent and trollvottel

    Since I have to use firewall rules, I assume:

    (1) bridge two NICs (do not clone cisco MAC)
    (2) create an interface using the bridge

    What do I do as far as IP address with the interface?  Is it a totally new address or do I use an existing address.  Example:

    Cisco - 192.168.1.1

    Astaro - ? (use 192.168.1.1 or a different address)

    Modem - (no address)

    Again thank you.
  • 0 in reply to BrucekConvergent
    Bridging 2 NICs does work (I've got a customer or 2 with that very configuration, sitting behind a Cisco firewall of some flavor or another.


    You mention the astaro behind the cisco.  I assume that means:

    astaro --->  cisco --->   modem.

    Can the astaro go after the cisco when the IP address is DHCP assigned by router to first device it's connected to?  The DCHP request has to pass through the astaro to the cisco.

    Reason I want it in front of the cisco is that I have 2 vlans going into the cisco that I want protected.

    Again, thank you for the guidance
  • 0
    You make me curious about your setup. What kind of protection does the Cisco firewall is offering to you that your Astaro cannot beat?

    I think adding complexity to the network plays against its security.
  • 0
    bridging will not monitor traffic if cisco or astaro or any firewall are not configured like gateway by the second devices, but if you want to make two interfaces identical like one (switch ports) you have to do link aggregation and two interfaces will become lag0

    like d00b, confused me too about what cisco can do more!!!
    any> to> any: drop is the same
  • 0 in reply to d00b
    You make me curious about your setup. What kind of protection does the Cisco firewall is offering to you that your Astaro cannot beat?


    like d00b, confused me too about what cisco can do more!!!
    any> to> any: drop is the same


    I was able to get this cisco 5505 with additional liscenses: security plus (unlimited vlans and users), premium vpn (25 users) and botnet traffic filter (perpetual) for a good price.

    I've been very pleased with Astaro but there has been one thing that made me want to try something else.   I understand astaro design decision is to do web filtering then firewall.  However, if web filtering allows traffic, then it is passed regardless of the firewall rules.  This makes things complicated and I did not fully master configuration.

    This is home use.  For example, I have several vms on LAN1 that I want to block all internet access.  Firewall rule:  BLOCK GROUP (contains the vms) > ANY > DENY does that.  However, if I set up web filtering on LAN1 and allow HTTP, then the vms in the BLOCK GROUP allow HTTP.   That is becasue web filtering is applied first, a web filtering rule match is made to allow traffic and no other rules are checked because there is a matched rule. This occurs even though I want all traffic from BLOCK GROUP to be denied.  If astaro did firewall > web filtering, then the vms in the BLOCK GROUP would have all traffic blocked (Firewall rule match and thus not need to check other rules such as web filtering.

    I had do a "work around" with seperate web filtering profiles and I could never get it to work just right.  I gave up with web filtering and instead relied upon openDNS to do some filtering (with an openDNS account).

    Astaro has taught me a lot about design and configuration of firewalls.  In moving to a cisco, I only had to learn the syntax of CLI commands.  Routing, NAT and firewall rules work similarly.

    Benefits of cisco 5505:  simple firewall rules that accomplish a lot.  I have 4 VLANs - LAN1, LAN2, LAN3 and WAN.  I want traffic blocked between VLANS except for any device on LAN1 to one specific device on LAN2.  With astaro there were lots of DENY rules that had to be set up.  The rules could be hard to follow.  I set up the firewall rules in groups by VLAN with non-functioning rules as seperators to make it clearer to read.  The cisco 5505 needs only one global rule and one firewall rule to accomplish the exact same thing.

    Negatives of cisco:  no IPS (unless you pay about $1000 for an add on card) and no web filtering (unless you pay $$ for subscription which is not viable for home user).  I wanted to see if I could do IPS and web filtering with the astaro between the cisco and the cable modem.

    I never appreciated the logging and amount of reporting available with astaro until using the cisco.  It has been a challenge to try to obtain the same level of reporting.  I have been using trial software to obtain similiar results.  However, those Trials will expire and I will not use them once it expires.

    In the end it was trying something different.  Astaro is a good product and I may end up selling the cisco and go back to astaro.  But for now, I'm trying the cisco.

    Back to topic - If anyone can post examples of astaro transparent firewall configurations that work, I'd appreciate it.  I have not been able to make it work.  I did set up the astaro before the cisco (astaro --- >  cisco  ---> modem) and using cisco live firewall log see traffic pass (green) from the internal LANS to the WAN (ANY > ANY > ALLOW).  However, the devices did not have network connectity.  I'd appreciate any help or experience.  Thank you.

    I think adding complexity to the network plays against its security.


    You are right.  Even if I get it configured correctly, I'm not sure how long I'll keep it running.  For now it's the challenge of getting it work.  (I;m probably one of the few home users with a windows domain, file server with deduplication, fully working sccm 2012  [including sup] and four LAN setup)
  • 0 in reply to rayik
    I have several vms on LAN1 that I want to block all internet access.  Firewall rule:  BLOCK GROUP (contains the vms) > ANY > DENY does that.  However, if I set up web filtering on LAN1 and allow HTTP, (...)
    Well, if you do not want the proxy service for the entire network, why using the LAN1 (presumably) object on the allowed networks? You must allow only the address space that can use the proxy. The priority for the proxy over the firewall rules plays a great role on the overall easy-of-use of the Astaro. It only requires a good planning.

    I want traffic blocked between VLANS except for any device on LAN1 to one specific device on LAN2.  With astaro there were lots of DENY rules that had to be set up.  The rules could be hard to follow.
    If you create VLANs interfaces on the Astaro, those interfaces need to be allowed first. The VLAN1 can not talk to the VLAN2 unless you authorize it. So, considering there is no other rules affecting this traffic, you can allow a specific address on the VLAN1 to reach another specitic address on the VLAN2, and everything else would be blocked by default. So, you will need only one "rule" instead of the two rules you need to setup on the Cisco.


    Back to topic - If anyone can post examples of astaro transparent firewall configurations that work, I'd appreciate it.  I have not been able to make it work.  I did set up the astaro before the cisco (astaro --- >  cisco  ---> modem) and using cisco live firewall log see traffic pass (green) from the internal LANS to the WAN (ANY > ANY > ALLOW).  However, the devices did not have network connectity.  I'd appreciate any help or experience.  Thank you.
    In all the bridged network I've used, all I needed to do was a packet filter rule allowing the interface to talk with itself (it's weird but understandable). IDK if a rule allowing any to any will to the trick.

    Is your Astaro running on a hardware or on a virtual appliance? Maybe your hypervisor implementation/host machine lacks the VLAN support.

    Regards!
  • 0
    Just a thought....

    What if you use Web Filtering in Transparent mode, put the IPs of the VMs into 'Skip transparent mode source hosts/nets', uncheck 'Allow HTTP/S traffic for listed hosts/nets' and add a Firewall to let some hosts/nets access the Internet?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Apart that Cisco ia a great product, has different hardware for different services. Ironport for web proxy, Ironmail for SmtpProxy, Router and firewall all this standalone machines. And I used both IronPort's and there is not a big difference with Astaro services!
Cookie Information Banner