Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 940 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Access based on Client IP

Harry&Dennis_01
We currently have specialised linux fw boxes, but looking into if we can replace them with astaro boxes. That seems to be possible, but with one thing that worries me;

Currrently we have a setup that allows access to 1 of our webservers based on client IP's. This is not a sustainable method with upcoming IPv6, but for now we are stuck with it, probably for the next 2 years.

we have a astaro virtual appliance installed to test some stuff and ive looked at the forum posts to see if there is a way to do white listing to internal webservers and found 2 possible approaches;
1. NAT rule based on a "clients" group to the webserver. 
2. Packet Filter based on a "clients" group

I was wondering if this would still work if that group would contain 2000 Client IP's..


This thread was automatically locked due to age.
Parents
  • 0
    Hi, Harry&Dennis, and welcome to the User BB!

    It's a bit confusing that you don't want to support 1500 users, but you want to support 2000 IP definitons.  I think I understand how you're solving your problem now, but I don't "see" the underlying problem well enough to find the easy solution with Astaro.

    Apparently, there's no "account" for these individual clients on the two webservers - correct?  Why do you send one client to one webserver but not the other - loadbalancing or ???  Do these clients have public IPs, or private IPs?  Could the IPs be grouped into general subnets like 194.171.0.0/20, 194.171.64.0/20, etc. - or are they already grouped by being private IPs in branch offices?  Anything else that might define this more-clearly for us?

    Cheers - Bob
Reply
  • 0
    Hi, Harry&Dennis, and welcome to the User BB!

    It's a bit confusing that you don't want to support 1500 users, but you want to support 2000 IP definitons.  I think I understand how you're solving your problem now, but I don't "see" the underlying problem well enough to find the easy solution with Astaro.

    Apparently, there's no "account" for these individual clients on the two webservers - correct?  Why do you send one client to one webserver but not the other - loadbalancing or ???  Do these clients have public IPs, or private IPs?  Could the IPs be grouped into general subnets like 194.171.0.0/20, 194.171.64.0/20, etc. - or are they already grouped by being private IPs in branch offices?  Anything else that might define this more-clearly for us?

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    This could be a bit confusing indeed. I said 1 of our webservers, but i ment 1 of our services. So the goal is to have access based on client IP to this service.

    The IP filter for access to our websites is not ideal, but a very cheap option. further on, we have unmanaged (home) Pc's we need to support and ipfiltering is a method in which we can manage the access by ourselves without having to install sofware on the PC's. 

    VPN does not seem to be a better option, but indeed we want to find an alternate solution for this (like sms/email/2factor authentication), but for now we are stuck with it. 

    So my question is if we would use astaro firewalls and have access to our service (which is a webserver) based on whitelisting the (known) client ip's, will this be a problem with 2000 client ip's listed?