Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 2 subscribers
  • Views 7253 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS Exceptions

chrlet
I am puzzled by the exceptions to Astaros IPS. I have a Astaro box with one external interface and two internal interfaces/networks. 

Both these networks are protected by IPS and I would like them to stay that way. However I am constantly pushing large files between the two internal networks and the CPU on the firewall is snorting away at max capacity, seriously crippling network speed. It is my intention to turn of snort on packages traveling through the firewall origination from one of the two networks and with the other network as destination. Is this doable?

If I add two exceptions to the IPS, one making exception from IPS when traffic is coming from lan1 and with lan2 being the destination, and then another exeception only this time reversing the source and destination networks. Will this do what I want or will it simply turn of IPS completely and expose my internal networks to instrusions originating from my external interface?

Yes, I suppose this is a silly question, but the documentation isn´t really any good.

Regards Christoffer


This thread was automatically locked due to age.
Parents
  • 0
    I think all you need to do is list LAN1 and LAN2 in an exclusion as Source Networks.  I believe you would not have inbound traffic checked if you listed them in an exception as Destination Networks.

    You can turn on the live log and watch what happens when you add each LAN to the Source Exclusion exception.

    Cheers - Bob
  • 0 in reply to BAlfson
    Barry, if I include the internal network in destination networks to skip, then which networks do I check?
  • 0 in reply to BAlfson
    Infact the exception on IPS are ORed...this is the real problem of IPS exception!
  • 0 in reply to mdallagi
    Thank you guys for all your responses. I solved the problem by creating an exception with my two internal networks as sources. I had a look aswell at the post where mdallagi was informed about exceptions being ORed and not ANDed, which also helped me. Might ad that while having the exceptions being ORed would be intelligible if it was well documented, it´s still rather counter intuitive :-)

    Regards Christoffer
  • 0 in reply to chrlet
    Hello Christoffer,

    I'm glad to know that my post was useful for your configuration.
    The IPS exceptions are not well documented but when you create a new exception
    the title says:

    when any of the following networks are involved:

    The word any actually means "ORed" (I was deceived too time ago....).

    However the ORed configuration limits the possibility of filtering.
    I hope in the next Astaro release (not in 7.4 :-(

    Bye
  • 0 in reply to mdallagi
    In effect, the Exclusions are ANDed with the 'Local networks' listed on the 'Global' tab.  I don't understand what filter might need to write with AND.

    Thanks for your ideas.

    Cheers - Bob
Reply Children
No Data