Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 927 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Interface-based packet filters?

jkmichael
Supposedly one of the new features of 7.1xx is interface-based filtering (so says the "new features" list of 7.100), yet I can't see any way to do this. I'm at 7.103 and when I create a filter I see the same old options as I always have for source/destination of a packet filter: I can select a host or network, but I do NOT see any new option to select an Interface itself.

Am I just missing it, or is this feature really not there even though they say it is?


This thread was automatically locked due to age.
Parents
  • 0
    Supposedly one of the new features of 7.1xx is interface-based filtering (so says the "new features" list of 7.100), yet I can't see any way to do this. I'm at 7.103 and when I create a filter I see the same old options as I always have for source/destination of a packet filter: I can select a host or network, but I do NOT see any new option to select an Interface itself.

    Am I just missing it, or is this feature really not there even though they say it is?


    when you add hosts or networks you can pick to which interface they belong. Haven't verified it yet (look at the iptables rules) but it seems thats the trick. 

    greetings,

    gnjb
  • 0 in reply to gnujuba
    It would be great if we could specify destination interface in the packet filter and not just the source interface.
  • 0 in reply to Flancer
    It is bound to the object, so it doesn't matter if it is used as source or destination.

    I added an object called Outside-Any (0.0.0.0/0) / Interface Outside. 

    If I have this rule: 

    SomeDMZObject->Outside-Any | Service XY | Allow 

    it only reaches destinations on the outside interface. 

    But as I said, I haven't check the resulting rules on the console to verify this.

    (On older asl versions it was possible to view the resulting iptables rules through webadmin - not there anymore in 7.1 ????) 

    regards

    gnjb
Reply
  • 0 in reply to Flancer
    It is bound to the object, so it doesn't matter if it is used as source or destination.

    I added an object called Outside-Any (0.0.0.0/0) / Interface Outside. 

    If I have this rule: 

    SomeDMZObject->Outside-Any | Service XY | Allow 

    it only reaches destinations on the outside interface. 

    But as I said, I haven't check the resulting rules on the console to verify this.

    (On older asl versions it was possible to view the resulting iptables rules through webadmin - not there anymore in 7.1 ????) 

    regards

    gnjb
Children
  • 0 in reply to gnujuba
    Cool method. It should work based on what you said.
  • 0 in reply to Flancer
    gnjb-

    Thanks! That's exactly what I was trying to accomplish... to keep from having to use "any" as a destination for DMZ hosts (which kind of defeats the purpose of putting hosts in the DMZ!). 

    The old Novell BorderManager system I came from used interface-based filters exclusively and I was shocked when I moved to ASG and it didn't work that way :-)
  • 0 in reply to jkmichael
    your welcome - it was about time for astaro to implement this. 

    I think there is only one firewall vendor left where you can't choose interfaces (or zones or what ever) to filter on - but that's a small unimportant firewall vendor from israel ;-)

    gnjb