Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 793 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Feature Request: Negative Objects

annubiz
I would like to put in my vote for a feature negative objects, one that i've used quiet a bit with checkpoint.

As you select a object for a rule as a source destination or service you could select a checkbox next to that server to define it as a negative object

that is instead of the below rule:

sslvpnusers--websurfing--any--allowed

you could define a much more desired rule like the one below:

sslvpnusers--websurfing--notlocalnetworks--allowed


This thread was automatically locked due to age.
Parents
  • 0
    ....or easier:

    sslvpnusers--websurfing--localnetworks--notallowed
    sslvpnusers--websurfing--any--allowed

    Just one more rule [;)]
  • 0 in reply to ClausP
    ....or easier:

    sslvpnusers--websurfing--localnetworks--notallowed
    sslvpnusers--websurfing--any--allowed

    Just one more rule [;)]


    Yea that is doable now but it comes with its own problems.

    The block rule would have to be at the top of the policy so as to be caught before another rule specifically denying it.

    Drop rules are generally better placed at the bottom, you don't care about the performance impact of a traffic you mean to drop but creating many drop rules at the beginning of a policy could adversely affect the traffic you do want passed.

    --at the end of the day creative policy work could get around it but creative doesn't always mean a efficient policy.
  • 0 in reply to annubiz
    Yes you have my vote.

    And the underlying Netfilter framework supports it too, so it must not be such a big problem!

    I think also the ordering within packet filter rules is much more better with this!

    Regards
Reply Children
No Data