Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 1 subscriber
  • Views 1871 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WAF restrict some websites

Vels
Hi,

I have enabled WAF and it runs great..
However, there are some website/services that I really would like to restrict access to so that only a few IPs can access it.
For example administration interfaces on some of the webservers on a special port - I mapped those via subdomain and WAF/reverse proxy but I really can't figure out how to restrict only those websites and not all since everything hits the Astaro on port 80 and everything from there is on inside network.

Any suggestions ?


This thread was automatically locked due to age.
Parents
  • 0
    It's not clear to me why you would want web app firewall protection for accesses by a webmaster that has root access to the machine once he gets there.  It seems like a DNAT is the simple answer here, using the remote admin's public IP and port 5000 in the traffic selector; the admin then accesses via http://fx. webadm.mydomain.com:5000/.  Then delete the WAF setup for that port.

    I agree that you have a good idea about being able to set logging levels for each virtual web server.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi Barry,

    The DNAT was the first I did, then figured it would be better placed behind the WAF.
    The webadmin on this part does not have root access, just an administration interface to change some of the webservices. Yes you can break stuff here but it's far from root.
    The idea was that the webmaster dont have to remember all those ports - people do tend to remeber subdomains far better. Som even have problems remembering to use https on some services ( sigh ).

    Anyhow, I will change the internal subnet soon to something crazy and then people that needs access must VPN in.

    Thanks for the suggestions and clarification.
Reply
  • 0 in reply to BAlfson
    Hi Barry,

    The DNAT was the first I did, then figured it would be better placed behind the WAF.
    The webadmin on this part does not have root access, just an administration interface to change some of the webservices. Yes you can break stuff here but it's far from root.
    The idea was that the webmaster dont have to remember all those ports - people do tend to remeber subdomains far better. Som even have problems remembering to use https on some services ( sigh ).

    Anyhow, I will change the internal subnet soon to something crazy and then people that needs access must VPN in.

    Thanks for the suggestions and clarification.
Children
No Data