Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 2 subscribers
  • Views 4700 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Astaro Bridge / Transparent Mode

rmsech
I can't find details anywhere on how to setup Astaro in bridge mode. I have 3 NIC's installed and was thinking that ETH0 would be for administration, ETH1 would be WAN and ETH2 would be LAN. There fore Astaro can only be managed by using ETH0 and then ETH1/2 would act as a bridge with no IP addresses assigned to them... virtually invisible.

Can this be done with Astaro and how?

Thanks for any help!

-R


This thread was automatically locked due to age.
Parents
  • 0
    'Network >> Bridging'

    The bridged interfaces will have an IP.  What problem are you trying to solve?

    Cheers - Bob
  • 0 in reply to BAlfson
    the whole purpose of a bridge mode, in addition to forwarding everything, was that it didn't require to have an IP address, to prevent Astaro to be seen by anything else in the network.

    For example, look at this firewall http://www.stillsecure.com/docs/StillSecure_SG_InstallationGuide.pdf and go to page 60. Note that eth1 and eth2 do not have an IP address, making it truly invisible. So unless you are using eth0, you don't know this firewall exists. It appears that if Astaro assigns an IP address to the bridge, it voids the invisibility?

    Yes?

    -R
  • 0 in reply to rmsech
    I believe that can be accomplished...
    Start by setting up the admin interface, then go to Bridging, and enable bridging with "Bridge Selected Interfaces" on the other 2 NICs.

    It doesn't ask for an IP for the bridge if you do it that way.

    Barry
  • 0 in reply to BarryG
    Barry, I must be doing something wrong.  If I do that with two available interfaces and choose to not convert one of the existing interfaces, I get "No bridge is currently configured" when I press [Create Bridge].

    rmsech, I still don't understand what advantage you would have with the Astaro in some kind of invisible mode.  There has to be a public IP somewhere, and the internal network still needs a gateway.  If all you want is IPS, then maybe Astaro is overkill.

    Cheers - Bob
  • 0 in reply to BAlfson
    Bob, you need at least 3 interfaces, one for management, and 2 for the bridge.

    Barry
  • 0 in reply to BarryG
    When I try to enable this feature, it asks me to pick an interface (Bridge or Internal) and even when I pick bridge, it requires me to enter an IP address.

    -R
  • 0 in reply to BAlfson
    Barry, I must be doing something wrong.  If I do that with two available interfaces and choose to not convert one of the existing interfaces, I get "No bridge is currently configured" when I press [Create Bridge].

    rmsech, I still don't understand what advantage you would have with the Astaro in some kind of invisible mode.  There has to be a public IP somewhere, and the internal network still needs a gateway.  If all you want is IPS, then maybe Astaro is overkill.

    Cheers - Bob


    The advantage is that if someone was breaking in, they can not tell that Astaro exists. If it doesn't exist, Astaro itself can't be attacked... theoretically. That's a big advantage. And Astaro would use its IPS in addition to the web filtering.
  • 0 in reply to rmsech
    What benefits come with the design of a bridging firewall? 


    1. Zero configuration. From a networking standpoint, there are virtually no changes. How can this be? Easy, the bridging firewall is plugged in-line with the network it is protecting. This means you can put it between two routers, or a router and a switch. You could even put it in front of a single machine. While it might be placed exactly where it should be if it were acting as a gateway or router, it's not. Remember, it merely moves frames after inspecting them between interfaces. This means that there's no need to make any changes to your existing network. It is completely transparent. No subnetting headaches or configuration updates are required with this device. 

    2. Performance. Because they are simpler devices, there's less processing overhead. This cost cutting either boosts the capabilities of the machines or allows for deeper examination of the data. 

    3. Stealth. A key aspect of this device is the fact that it operates at layer 2 of the OSI model. This means the network interfaces have no IP addresses. Such a feature carries more weight than merely ease of configuration. Without an IP address, this device is unreachable and invisible to the outside world. If it cannot be reached, how can anyone attack it? No network probes, denial of service floods or firewalking on this machine. Your attackers won't even know it's in place, silently inspecting everything they send.

    --- Excerpt from Transparent, Bridging Firewall Devices @ Transparent, Bridging Firewall Devices
  • 0 in reply to rmsech
    OK, if you don't want to do VPN, don't want to do Masquerading, don't need Web Security, don't need Mail Security or any of the other advanced capabilities of the Astaro like load balancing, uplink balancing, multipathing, etc., then it seems like you don't need a UTM like Astaro.  Since one can't do any of those things with a bridged, invisible firewall, it seems unlikely that the specialized niche you're discussing is likely to be addressed by Astaro.

    Anyway, that's just my 2 cents worth.

    Cheers - Bob
    PS Has anyone heard of a properly-configured Astaro that was attacked successfully?
Reply
  • 0 in reply to rmsech
    OK, if you don't want to do VPN, don't want to do Masquerading, don't need Web Security, don't need Mail Security or any of the other advanced capabilities of the Astaro like load balancing, uplink balancing, multipathing, etc., then it seems like you don't need a UTM like Astaro.  Since one can't do any of those things with a bridged, invisible firewall, it seems unlikely that the specialized niche you're discussing is likely to be addressed by Astaro.

    Anyway, that's just my 2 cents worth.

    Cheers - Bob
    PS Has anyone heard of a properly-configured Astaro that was attacked successfully?
Children
  • 0 in reply to BAlfson
    OK, if you don't want to do VPN, don't want to do Masquerading, don't need Web Security, don't need Mail Security or any of the other advanced capabilities of the Astaro like load balancing, uplink balancing, multipathing, etc., then it seems like you don't need a UTM like Astaro.  Since one can't do any of those things with a bridged, invisible firewall, it seems unlikely that the specialized niche you're discussing is unlikely to be addressed by Astaro.

    Anyway, that's just my 2 cents worth.

    Cheers - Bob
    PS Has anyone heard of a properly-configured Astaro that was attacked successfully?


    I do want web security, packet filtering, IPS, automatic updates etc and Astaro has a very nice interface... and if you scroll up, my very first question was "is this possible with Astaro?" - and you just told me it's not, so that's all I needed to know. Transparent firewalls are the new way to go (in addition to layer 3 firewalls and honeypots), for the same reasons listed above. I don't see why the features wouldn't be able to work at layer 2 with no IP addresses. Btw, Strata Guard has many of the same features as Astaro and it does work @ layer 2, you just have to manually update the firewall.

    Thank you.

    -R