Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 2 subscribers
  • Views 7251 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS Exceptions

chrlet
I am puzzled by the exceptions to Astaros IPS. I have a Astaro box with one external interface and two internal interfaces/networks. 

Both these networks are protected by IPS and I would like them to stay that way. However I am constantly pushing large files between the two internal networks and the CPU on the firewall is snorting away at max capacity, seriously crippling network speed. It is my intention to turn of snort on packages traveling through the firewall origination from one of the two networks and with the other network as destination. Is this doable?

If I add two exceptions to the IPS, one making exception from IPS when traffic is coming from lan1 and with lan2 being the destination, and then another exeception only this time reversing the source and destination networks. Will this do what I want or will it simply turn of IPS completely and expose my internal networks to instrusions originating from my external interface?

Yes, I suppose this is a silly question, but the documentation isn´t really any good.

Regards Christoffer


This thread was automatically locked due to age.
  • 0 in reply to mdallagi
    Right.  Tom's point was that the present approach only requires you to identify EITHER the source or destination instead of both.

    Now that we've talked about it more, it does seem more reasonable to have a situation that says, "I don't want to check traffic from Lan1 to Lan2, but continue to check the rest of the traffic originating from Lan1."  As it is now, you only have the choice of excluding all traffic sourced in Lan1, or examining all of it.

    Cheers - Bob
  • 0 in reply to BAlfson
    OK, thanks for the clarification.

    I agree about this needing to be a feature request.

    Also, the input form and/or help need to be improved, as this is completely counter-intuitive for me, and apparently the and/or issue is confusing people as well.

    Barry