Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 1712 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Service Groups, vs. Packet Filter Groups

trainee
In the past (pre ASLV7) I have defined port ranges (services) for an application, then created a service group if an application used more than 1 service.  I then grouped similar applications via packet filter grouping.  

Example (Steam aka. counterstike):

Services:
Steam_TCP, TCP, 1:65535 -> 27030:27039
Steam_UDP, UDP, 1:65535 -> 27000:27017

Service Group:
Steam_Platform = Steam_TCP, Steam_UDP

Packet Filter:
Rule, Internal->Steam_Platform->Any, Group = Games


If I follow the examples provided by ASLV7 (Web Surfing, IM, etc).  I would put multiple applications into a service group and then put the service group into the packet filter.

Cut to the chase:  Is there a difference in the way ASL processes service groups vs. packet filter rules?  Does one have improved performance over the other?  I doubt it, but I thought I would ask.

Ancillary question:  does anyone have another organization method to suggest?


This thread was automatically locked due to age.
  • 0
    I've read your post three times and for the life of me, I can't see a difference between your "old way" description and the "new way" you describe ASG7 using. [:)] They both look identical to me... what am I missing?
  • 0 in reply to jkmichael
    Ok, I'm not sure there is much difference in execution.  Just in configuration.  Ill try to illustrate the 2 scenariors with games.


    ***OLD Method (my own AFAIK)***
    SERVICES:
    ----------
    AOE2 , TCP/UDP, 1:65535 -> 23978
    Steam_TCP, TCP, 1:65535 -> 27030:27039
    Steam_UDP, UDP, 1:65535 -> 27000:27017
    Quake3, TCP/UDP, 1:65535 -> 27960


    SERVICE GROUPS:
    -----------------
    Steam_Platform = Steam_TCP, Steam_UDP


    PACKET FILTER:
    ---------------
    Rule = Internal -> AOE2 -> Any, Group Games
    Rule = Internal -> Steam_Platform -> Any, Group Games
    Rule = Internal -> Quake3 -> Any, Group Games




    ***NEW METHOD (As illustrated by prebuilt groups in ASLV7)***
    SERVICES:
    ----------
    AOE2        , TCP/UDP, 1:65535 -> 23978
    Steam_TCP, TCP      , 1:65535 -> 27030:27039
    Steam_UDP, UDP      , 1:65535 -> 27000:27017
    Quake3     , TCP/UDP, 1:65535 -> 27960


    SERVICE GROUPS:
    -----------------
    Games = AOE2, Steam_TCP, Steam_UDP, Quake3


    PACKET FILTER:
    ---------------
    Rule = Internal -> Games -> Any, Group ???



    Obviously this example is small, but could grow quite large.  So is there a reason the Astaro design team chose to organize the rules in this manner?  Is there a performance benefit for service groups as compared to rules, or is it completely arbitrary?
  • 0 in reply to trainee
    Ok, I see better what you're asking now. I can't speak to whether there is any performance difference between the two methods, but I would imagine not. 

    What I *do* know is that a "group" in the packet filtering itself does absolutely NOTHING except help you color and thus see filters that belong to the same group together. The "grouping" has zero to do with how packets are actually filtered.