Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 975 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

What is the best practic to make rules in Packet

vivekrajput
hi..

What is the best practice to make rules in packet filter, I mean it is better to group the source and service in single rule or it is better to make new rules for every single service. Please look attachment.


This thread was automatically locked due to age.
  • 0
    A couple of things come to mind and feel free to correct me if I get it wrong.  I think it boils down to one basic premise: use the least number of rules possible that accomplish your goals.  For instance, there may be times where you need to turn FTP off while leaving telnet up.  Therefore a rule which combines those two services would not work in that case.  On the flip side if you combine a dozen services into one service group, odds are good that you will not remember what services are in that group later on and thus working with that rule will be inefficient. It really depends on what you are trying to do. If you are just trying to block or allow a service or two then by all means keep them separate.  If, however, you want to create dozens of rules you might want to start thinking about how to accomplish that efficiently.

    -Bob
  • 0
    Hi..

    Well i want to know technical information not facilitate information, and of course minimum rules are always best practice. But if i am not wrong, if i am creating rule its mean i am creating a route, So my question is if i am creating a group than what is going behind..??
  • 0
    If you take a look at some of the preexisting definitions, e.g. VPN Protocols, you'll notice that it is made up of IPsec - AH, IPsec - ESP, IPsec - IKE, IPsec - NAT-T, L2TP, and PPTP. Due to the luxury of having VPN Protocols, if one wanted to allow their Internal Network to Passthrough all VPN Protocols, it's as simple as making a Packet Filter of Internal (Network) -> VPN Protocols -> Any. The alternative would be creating a Packet Filter for each of the particular ones that you would want to Passthrough. 

    I can't say with 100% certainty, but my educated guess would be that whether you use the group or individually add them, under the covers the same commands will be issued, however, aesthetically it's much easier to work with at the Astaro Interface Level, as well as a safe way to ensure you will always reference the right services.
  • 0
    Hi...
     
    You are right but i am not asking in this way, i know this very well. I just mean to know what is going to behind the rules..!!