Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 4177 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Any...

Kynao
Hello,

I have internal, DMZ and external zone created during installation.
I have used Astaro 7.x and 8.x, now in 8.305.
I can't explain why some firerall rules that should allow some traffic does not.

When i define rules for internal zone, it is not really a problem to choose "Any" for "destination" and it works fine as expected.

Now, for DMZ i want a better control, so for example :
Source : DMZ (Network)
Service : Web Surfing
Destination : External (Network)

It does not work. It's an example out of many why i went in forum many times, and many times advices were "it works better with Any as destination". Correct, it works [:)] but i were under the shock to read such advices as we could also say "it works even better with no firewall at all". By putting any, we can access the internal zone from the dmz through the web surfing services, the same for all others rules defined this way. That also means that if only "Any" works in destination, then no need to define destination, it should be hard coded directly.

Is there a way to use Astaro without using "Any" everywhere ?


This thread was automatically locked due to age.
Parents
  • 0
    because you also need to allow dns service for the dmz as well.
  • 0 in reply to William Warren
    It already exists, the dns rule is declared before the web surfing rule in this example. If i we have:

    Source : DMZ (Network)
    Service : DNS
    Destination : External Wan (Network)

    Source : DMZ (Network)
    Service : Web Surfing
    Destination : External Wan (Network)

    It does not work. 

    Furthermore, if i only change External Wan (Network) to any for web surfing, it works, so logically, if :

    1. Destination : External Wan (Network) for dns and websurfing is wrong
    2. Web surfing depends of the dns rule
    3. then changing from External Wan (Network) to any for web surfing should not work as the dns rule would still be wrong, but it works...
  • 0 in reply to Kynao
    1. Destination : External Wan (Network) for dns and websurfing is wrong.

    If you mean "Wrong" as in not working, you are correct. That is because "External(Network)" only defines the immediate subnet your Astaro in on. For example, My ISP assigns me 6 static IP's (we have a enterprise grade service), say 198.249.156.128/26. Websurfing with "External(Network)" as a destination will only work if the server is in the DMZ. "Any" is the definition for the internet at large, literally any IP.

    3. then changing from External Wan (Network) to any for web surfing should not work as the dns rule would still be wrong, but it works...

    See my first point. You most likely have Astaro setup as a proxy for DNS (DNS host IP in your DMZ is the gateway IP), which means Astaro will forward the DNS request on behalf on the DMZ host.

    As websurfing is allowed "Any"where, and the DNS is being proxied by Astaro, it works.
Reply
  • 0 in reply to Kynao
    1. Destination : External Wan (Network) for dns and websurfing is wrong.

    If you mean "Wrong" as in not working, you are correct. That is because "External(Network)" only defines the immediate subnet your Astaro in on. For example, My ISP assigns me 6 static IP's (we have a enterprise grade service), say 198.249.156.128/26. Websurfing with "External(Network)" as a destination will only work if the server is in the DMZ. "Any" is the definition for the internet at large, literally any IP.

    3. then changing from External Wan (Network) to any for web surfing should not work as the dns rule would still be wrong, but it works...

    See my first point. You most likely have Astaro setup as a proxy for DNS (DNS host IP in your DMZ is the gateway IP), which means Astaro will forward the DNS request on behalf on the DMZ host.

    As websurfing is allowed "Any"where, and the DNS is being proxied by Astaro, it works.
Children
  • 0 in reply to TheDrew
     That is because "External(Network)" only defines the immediate subnet your Astaro in on. 


    If i understand correctly, that mean i can't tell the DMZ to be allowed or denied for a service which destination is "something on internet" ?

    Then, that would be useful to be able to define inverse rules like :
    ! (
    Source : DMZ (Network)
    Service : WebSurfing
    Destination : Internal (Network)
    Action: Allow
    )

    Where "!" would mean "contrary to"
    Maybe it's already possible ?