Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 2 subscribers
  • Views 854 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Allow Subnet Any to WAN and nothing to other private Subnets

maikel_night
Dear Forum,

today i brought up a different subnet with my astaro asg 220. the constellation is as follows: hp pro curve switch with 2 vlans - the default vlan (192.168.1.0/24) is production environment - the secondary vlan is a different subnet (172.16.1.0/16). i bordered both subnets via the pro curve switch - byt the way: everythings fine there! i need to allow the whole subnet 172.16.1.0 to ANY to WAN but nothing to any other private subnets!!! i tested some things but couldnt get it working because: if i set up a policy in packet filter with allowing ANY to ANY, then it is also allowed to other private subnets like the production environment (192.168.1.0/24). how can i set up this subnet to just access anything in the internet, but nothing in my other private subnets? i thought there would be a definition like "anything except all the private networks" of Class A / B & C networks, but there isnt one...thanks for all help and hints!

cheers,


This thread was automatically locked due to age.
Parents
  • 0
    Maikel, can't you just put a packet filter rule at the top: '[172.16.1.0/16] -> Any -> [group of other subnets] : Drop'?  Then do the rule that allows the other traffic you want to allow.

    Another idea (I haven't tried this) would be to create a network definition "Internet" with 0.0.0.0/0 bound to your External interface.  Then create a PF rule: '[172.16.1.0/16] -> [group of services you want to allow] -> Internet : Allow'.  I think other traffic will be default dropped since it's not allowed.

    Cheers - Bob
Reply
  • 0
    Maikel, can't you just put a packet filter rule at the top: '[172.16.1.0/16] -> Any -> [group of other subnets] : Drop'?  Then do the rule that allows the other traffic you want to allow.

    Another idea (I haven't tried this) would be to create a network definition "Internet" with 0.0.0.0/0 bound to your External interface.  Then create a PF rule: '[172.16.1.0/16] -> [group of services you want to allow] -> Internet : Allow'.  I think other traffic will be default dropped since it's not allowed.

    Cheers - Bob
Children
No Data