Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 2342 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Firewalling between bridged LAN segments

JonEtkins
Hi folks.

I'm would like to separate out my LAN into two separately-firewalled segments on a single subnet.  I'm sure I read somewhere that after bridging the two LAN adapters together to create a single bridged network, I could still create firewall rules to control traffic between machines connected to those two adapters.

Effectively I want a DMZ on the same subnet as the rest of the LAN instead of in its own address space, but for the life of me I can't see how to do it - as soon as I bridge the two LAN adapters together to create br0, I lose the ability to specify the individual interfaces in Packet Filter rules.

I can't help thinking I must be missing something really simple; could someone point me in the right direction?  This is ASGv7, btw.

Thanks,
  Jon.


This thread was automatically locked due to age.
Parents
  • 0
    To (hopefully) clarify the situation as I see it, here's what the manual says:
    Through bridging, several Ethernet networks or segments can be connected to each other. The data packets are forwarded through bridging-tables, which assign the MAC addresses to a bridge port. The resulting bridge will transparently pass traffic across the bridge interfaces.

    Note – Notice that such traffic must explicitly be allowed by means of appropriate packet filter rules.


    That last sentence implies I should be able to keep the segments separate, but once I bridge the interfaces together there appears to be no way to filter based on interface any more; I can create rules to keep machine X from accessing machine Y (by addresses or DNS names), but no way to keep all machines on bridged interface A from accessing machines on bridged interface B.

    Am I just reading it wrong?
Reply
  • 0
    To (hopefully) clarify the situation as I see it, here's what the manual says:
    Through bridging, several Ethernet networks or segments can be connected to each other. The data packets are forwarded through bridging-tables, which assign the MAC addresses to a bridge port. The resulting bridge will transparently pass traffic across the bridge interfaces.

    Note – Notice that such traffic must explicitly be allowed by means of appropriate packet filter rules.


    That last sentence implies I should be able to keep the segments separate, but once I bridge the interfaces together there appears to be no way to filter based on interface any more; I can create rules to keep machine X from accessing machine Y (by addresses or DNS names), but no way to keep all machines on bridged interface A from accessing machines on bridged interface B.

    Am I just reading it wrong?
Children
  • 0 in reply to JonEtkins
    I posted about this before... I was under the same impression (that filtering could be done), but there were no replys [:(]

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/38332

    Barry
  • 0 in reply to BarryG
    Well, after having used ASG for a few days now, I realize that it handles Port Forwarding rules somewhat differently from the SonicWalls that I'm more familiar with.

    With a SonicWall, you regulate traffic between specific interfaces (LAN/WAN/DMZ) and/or addresses, whereas in ASG you can only specify networks (subnets or host addresses).  Thus it seems that there is no way to secure one part of a bridged network from another, as a miscreant would only need to use an IP address in the secured range in order to gain access to all other machines in that range.
  • 0 in reply to JonEtkins
    May we have an official statement from Astaro about this? Andreas?

    I run a sandwich configuration using 2 ASG120 (7.011) boxes, each in bridging mode. DMZ in between. I can't restrict WAN traffic using the same subnet IPs from connecting to the inside LAN.

    I use a rule which allows LAN (network) ->any ->any to allow all inside traffic to connect to the internet. Unfortunately this same rule allows all hosts in the WAN zone to connect to the LAN for obvious reasons.

    So I can't really define what is outgoing and what is incoming, or defining traffic with interfaces.  I have access points in the WAN with DHCP server running and need to restrict traffic to the DMZ and LAN...

    What to do now? This is a very urgent issue for me. Please help!
  • 0 in reply to elektrip
    While searching for a solution to filter traffic based on the physical interface I ran into this rather old thread and think we have the exact same problem.
    Is there a chance, that Astaro can pick this up and say something about this?

    The goal is to define two physical interfaces (possibly even without an IP address assigned, as it is not relevant) and be able to have filter rules between those two.

    steve