Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 2915 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Interface as source or destination?

Enok
Astaro seems currently unable to have an interface as a source or  destination.

This is a problem because it forces the use of black-lists.


An example follows:

A network with 6 segments.  Each with different policy and access between each other.   There should be possible to access the internet from some or all this segments.  What we do not want is to have free access between the segments.  Therefore the segments  

With astaro today this seems to be done in an utterly ugly and insecure fasion.

To have access to internet one have to use the destination any.  But this is not right!     One then have to add deny-rules before this rule to avoid uncontrolled access to the other segments.

This adding of deny-rules is called a black-list.  Astaro is supposed to use white-lists but this falls apart when you have a couple of segments.


In the case of 6 segments one need not 6 rules to give them access to the internet.  One need 6*6 = 36!  


Have i missed sometihing or is astaro just not meant to be used for more than internet-dmz-internal?
 



By the way, what happened to the filter number in the logs?


This thread was automatically locked due to age.
Parents
  • 0
    I'm used to seeing this, and not just on Astaros. What do you have in mind as an alternative to Astaro's functionality?? (Please include a specific example)
  • 0 in reply to SecApp
    I cant think of any firewall of the top of my head that has a simple solution to this.

    The use of ANY is a common security problem i see at clients all the time.

    Cisco PIX has a half decent way of clasifying a zone with a number and uses this number to set the default policy of which other zone it can talk to.

    But a slicker solution ould be nice.
Reply
  • 0 in reply to SecApp
    I cant think of any firewall of the top of my head that has a simple solution to this.

    The use of ANY is a common security problem i see at clients all the time.

    Cisco PIX has a half decent way of clasifying a zone with a number and uses this number to set the default policy of which other zone it can talk to.

    But a slicker solution ould be nice.
Children
No Data