Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 8062 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Two interfaces to the same LAN

DiePlage
Hello Folks,

this is an example of my setup:
ASG 7.405

ASG eth0 -> LAN (192.168.50.10/24)
ASG eth1 -> WAN (default GW)
ASG eth2 -> (free)
ASG eth3 -> (free)

I need to over watch the traffic between one LAN client (e.g. 192.168.50.110) and the rest of the LAN to find a possible security breach.
I thought of doing this by connecting 192.168.50.110 to a free interface on our ASG. I would set up the free interface (e.g. eth2) to have ip/subnet 192.168.50.11/24
But I don't know whether it is possible to have two interface connect to the same LAN without bridging them.
would it be possible to have the IDS watch traffic between the two network segments?

Thanx for any help!

Cheers


This thread was automatically locked due to age.
Parents
  • 0
    Why not just set up a PC running Wireshark in the network, and filter on the IP of the device you want to watch?

    It seems to me that you could indeed create a separate subnet for the offending PC, but you would need to change the default gateway and IP on the PC, make masq rules for it, etc.   That would allow you to run traffic from it through IPS.  I don't think that you would have a problem just because both subnets would be on the same, physical Ethernet network.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob,

    thanks for your reply!

    I could use wireshark but I would like to take this chance to do some more detailed work with Astaro's IPS.
    If I get this working it would be a very straightforward way of setting up some kind of on-the-fly-DMZ without the need of using different IP subnets. It would be even better if I could find a solution that wouldn't require any alteration of the client's configuration.

    Basically, what I want to do is use an existing astaro to filter between different segments of the same LAN. I believe this can come in handy in a number of occasions. Securtiy issues may be one example, say you suspect one of your servers inside your lan to be under attack from within your lan or maybe you can see unusually high port utilization on a managed switch and want to find out what's going on.

    Maybe there is another way to achieve this? Maybe you could use two free interfaces to build a stealthed filter in the middle?

    I think SonicWall is doing this by the means of "network-zones" defined by ip/subnet+firewall-interface.

    The server I suspect to be infiltrated doesn't provide anything vital so it's kind of a study object for now :-)

    Cheers!
  • 0 in reply to DiePlage
    Hi, I don't think you could have 2 interfaces on the same LAN, but you could create a new LAN with a different IP subnet for the machines you wish to quarantine; Astaro would route traffic between the various LANs.

    Barry
Reply
  • 0 in reply to DiePlage
    Hi, I don't think you could have 2 interfaces on the same LAN, but you could create a new LAN with a different IP subnet for the machines you wish to quarantine; Astaro would route traffic between the various LANs.

    Barry
Children
No Data