Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 2409 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Confusing Network Definitions

NewImage
Hi

Is there a reason why IP ranges of a NIC are not bound to that card?

For example, lets say I have a NIC called "eth1" and I want that to be my LAN, so I hook up my LAN switch to it, and go make a firewall rule. 

When I create a new firewall rule, and look at the list of networks, there will be 3 networks for each NIC on my firewall (address, Broadcast, and Network). 

So I see the icon of a NIC adapter called "eth1 (network)", and create a firewall rule with that. Great everything working as planed, my LAN can now access that resource.

Problem I did not predict, someone on (eth3 or another adapter) can change their IP to the a IP that is on the "eth1 (network)" and now have that firewall rule active. That can be dangerous. 

I'm kind of new to all of this. But I can't think of a reason why I would want someone with a different subnet to be attached to a NIC that is defined as something else. I would think Defaulting the NIC subnet to being bound to that NIC/adapter would be more secure.


This thread was automatically locked due to age.
Parents
  • 0
    It does sound like you might of had a routing loop. If you want to restrict traffic based on the interface you can make sure spoof protection is enabled, then if traffic hits the astaro on the wrong interface it will be dropped. 

    You can also create your own network definitions for the networks and bind them to an interface, this will allow the more granular packet filter rules you allude to in your post. However it can cause issues or unexpected behaviour if done incorrectly, so use with caution.
Reply
  • 0
    It does sound like you might of had a routing loop. If you want to restrict traffic based on the interface you can make sure spoof protection is enabled, then if traffic hits the astaro on the wrong interface it will be dropped. 

    You can also create your own network definitions for the networks and bind them to an interface, this will allow the more granular packet filter rules you allude to in your post. However it can cause issues or unexpected behaviour if done incorrectly, so use with caution.
Children
No Data