Ethertnet to Ethernet filtering

In version 7, you can create rules by interface.

Barry

Barry, I don't understand.  How is techside's solution done with interfaces in the Astaro?

Wouldn't he be better off with the usual Astaro configuration of defining a packet filter rule: 'Internal (Network) --> Any --> DMZ (Network) : Allow' where he had assigned 'Internal' to 'eth0' and 'DMZ' to 'eth1'?

Thanks - Bob

Bob, I agree that normal network rules would be better, but I was just mentioning that interface-based rules can be created.

To answer your first question, I'd guess that to do it with interfaces, you'd set eth0 as the source interface, and eth1 as the dest, with an allow rule.

Barry

To get the following rule

iptables -A FORWARD -i eth0 -o eth1 -j ACCEPT

you first create two network definitions like this:

Name: ETH0
Address: 0.0.0.0
Netmask: 0
Interface: Interface that is on eth0

When you use this network definition in packet filter rules, the Interfaces is used to limit traffic to the underlying physical interface. If the network definition is used as source a "-i ethX" is added to the rule. For destination, "-o ethX" is added.

You can also use this with PPP interfaces. The interface will then be pppX instead of ethX.

Regards,
Daniel

Thanks, guys.  Now you have me wondering where I should have used this approach in the past.  For what problem is it superior to the "standard" Astaro approach?

Thanks - Bob

If you have many routed networks behind an interface, you can allow all traffic from these networks with a single rule.

The interface field in the network definitions is also handy to replace the classic "Internal Network, Service Any -> Any, Allow" rule with a more restrictive "Internal Network, Service Any -> Internet, Allow".
Where "Internet" would be "0.0.0.0/0" bound to your External Interface.
That doesn't give the "Internal Network" access to your DMZ for example.

Regards,
Daniel

Thanks, Daniel, I look forward to using those two gems!

Cheers - Bob