Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 1862 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[Need help]Firewall

hotsummerboy
Hi everybody, I'm using astaro 220(v8). Please help me create firewall rule :
- 10.0.0.*** (255.0.0.0): can use all service(port)
- 10.0.1.*** (255.0.0.0): can use email only.
I have try create 2 rule :
1. 10.0.0.0/24 - any - any : allow
2. 10.0.1.0/24 - Email Messaging - any 

But user in IP range 10.0.1.*** can use internet ...
Please help me, thx


This thread was automatically locked due to age.
Parents
  • 0
    - I have created 2 DHCP range, static mapping mac to ip. Of course IT can not stop user changing their IP, but my boss don't care about that. I have explained for him that user can changing their IP and no way to prevent that. Now I just care how to prevent user from IP range 10.0.1.x using internet.
       I have try create 2 rule but they're useless:
    1. 10.0.0.0/24(Type : network, interface: any, IPv4 Address : 10.0.0.1, netmask :/24(255.255.255.0)) - any - any : allow
    2. 10.0.1.0/24 - Email Messaging - any 
       - Only have network security in my ASG 220, no mail, no web security.
    And now it still does not work
Reply
  • 0
    - I have created 2 DHCP range, static mapping mac to ip. Of course IT can not stop user changing their IP, but my boss don't care about that. I have explained for him that user can changing their IP and no way to prevent that. Now I just care how to prevent user from IP range 10.0.1.x using internet.
       I have try create 2 rule but they're useless:
    1. 10.0.0.0/24(Type : network, interface: any, IPv4 Address : 10.0.0.1, netmask :/24(255.255.255.0)) - any - any : allow
    2. 10.0.1.0/24 - Email Messaging - any 
       - Only have network security in my ASG 220, no mail, no web security.
    And now it still does not work
Children
  • 0 in reply to hotsummerboy
    Hi,
    If you are using fixed addressing, you don't need DHCP servers.

    the interface definition 
    Internal interface (internal gateway)
    10.0.2.0/23 I think gives you the range you want
    10.0.2.1/23 would be the address of the interface

    Network objects
    groupa 10.0.0.0/24
    groupb 10.0.1.0/24
    external mail server IP address (either DNS or fixed)

    packet filter
    groupa -> any (ports) -> any (destination) -> allow
    groupb -> email ports -> your external mail server -> allow

    NAT (MASQ) internal network -> external address

    Ian