Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 1870 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WAF restrict some websites

Vels
Hi,

I have enabled WAF and it runs great..
However, there are some website/services that I really would like to restrict access to so that only a few IPs can access it.
For example administration interfaces on some of the webservers on a special port - I mapped those via subdomain and WAF/reverse proxy but I really can't figure out how to restrict only those websites and not all since everything hits the Astaro on port 80 and everything from there is on inside network.

Any suggestions ?


This thread was automatically locked due to age.
  • 0
    It depends on your situation.  Do you have some services that should be available only to specific companies, or is this for admins and programmers to access the webservers?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi,

    Well those services is for webmaster. Like webservices controlpanel running on port f. port 5000 on the internal net, but proxied to port 80 on a subdomain fx. webadm.mydomain.com on the external interface via WAF.
    Ofcourse I could just DNAT it, but then goes the idea of a web app firewall if I cant restrict on the "inside" of the wan interface that only source packages from like 4 ip's are allowed and all other dropped for that specific virtual server.

    By the way.. is there any way to limit the logging of the webapp firewall?. In just 5 hours I got a live logfile around 30 megabytes.. by deleting it cpu and swap dropped a fair amount.

    Best regards
    vels
  • 0
    Hi, one alternative might be to setup a VPN for the webmaster.

    Barry
  • 0 in reply to BarryG
    Hi,

    Already did that, but it has some challanges too since his subnet is simular to mine and at his other network his router seems to break both pptp and l2tp.
    Thats why I went ahead for the webproxy,..

    Feature request then :-)  Be able to control access to virtual webservers.
  • 0
    please see Astaro Gateway Feature Requests for feature requests.

    Note that the OpenSSL VPN may still work even if pptp and l2tp are blocked.

    You could NAT the VPN Pool to get around the IP conflict, but that would make things more complicated.

    Barry
  • 0 in reply to BarryG
    Thanks Barry,

    I will find a way... just figured I would ask about the access rules for virtual webservers since with physical servers on dnat they can be controlled in the packagefilter and I missed the alike on virtual ones.

    What about the heavy logging from the Web application firewall?

    I see no reason to log every allowed request to websites, I would rather just log "the bad things" like attempts on attack and so on.
  • 0
    It's not clear to me why you would want web app firewall protection for accesses by a webmaster that has root access to the machine once he gets there.  It seems like a DNAT is the simple answer here, using the remote admin's public IP and port 5000 in the traffic selector; the admin then accesses via http://fx. webadm.mydomain.com:5000/.  Then delete the WAF setup for that port.

    I agree that you have a good idea about being able to set logging levels for each virtual web server.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi Barry,

    The DNAT was the first I did, then figured it would be better placed behind the WAF.
    The webadmin on this part does not have root access, just an administration interface to change some of the webservices. Yes you can break stuff here but it's far from root.
    The idea was that the webmaster dont have to remember all those ports - people do tend to remeber subdomains far better. Som even have problems remembering to use https on some services ( sigh ).

    Anyhow, I will change the internal subnet soon to something crazy and then people that needs access must VPN in.

    Thanks for the suggestions and clarification.