Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 2409 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Confusing Network Definitions

NewImage
Hi

Is there a reason why IP ranges of a NIC are not bound to that card?

For example, lets say I have a NIC called "eth1" and I want that to be my LAN, so I hook up my LAN switch to it, and go make a firewall rule. 

When I create a new firewall rule, and look at the list of networks, there will be 3 networks for each NIC on my firewall (address, Broadcast, and Network). 

So I see the icon of a NIC adapter called "eth1 (network)", and create a firewall rule with that. Great everything working as planed, my LAN can now access that resource.

Problem I did not predict, someone on (eth3 or another adapter) can change their IP to the a IP that is on the "eth1 (network)" and now have that firewall rule active. That can be dangerous. 

I'm kind of new to all of this. But I can't think of a reason why I would want someone with a different subnet to be attached to a NIC that is defined as something else. I would think Defaulting the NIC subnet to being bound to that NIC/adapter would be more secure.


This thread was automatically locked due to age.
  • 0
    someone on (eth3 or another adapter) can change their IP to the a IP that is on the "eth1 (network)" and now have that firewall rule active


    If eth3 has a different subnet, it would be impossible for the user on the eth3 network to get anywhere without using an IP in the eth3 network.

    Barry
  • 0 in reply to BarryG
    In the situation I had. I have a Wirelesss router with its own DHCP server that was on 192.168.18.2, connected to 192.168.18.1 on the firewall. Any wireless user could change their IP to a LAN IP and they would have access to the LAN network. I was even getting LAN broadcasts of servers and computers on it. Perhaps the extra router was confusing the Gateway.

    I guess i could have had a loop in the routing by someone Plugging both networks into a switch.

    Firewall rules for Wireless was 
    1) 192.168.18.2 no access to DMZ
    2) 192.168.18.2 no access to LAN
    3) 192.168.18.2 can access anything
  • 0
    If 
    wifi was on eth3 
    and LAN was on eth1, 
    and eth1 was NOT using the same subnet (192.168.18.x), 
    then something else was wrong.

    Barry
  • 0
    It does sound like you might of had a routing loop. If you want to restrict traffic based on the interface you can make sure spoof protection is enabled, then if traffic hits the astaro on the wrong interface it will be dropped. 

    You can also create your own network definitions for the networks and bind them to an interface, this will allow the more granular packet filter rules you allude to in your post. However it can cause issues or unexpected behaviour if done incorrectly, so use with caution.