ATTENZIONE: Host Definitions - Forse non tutti sanno che...

sono abbastanza sbalordito anche io...
quto la richiesta... speriamo passi qualche mod e dia qualche dettaglio.
intanto setto tutto su any...

grazie per la segnalazione.

Devo dire che quando l'ho letto sono quasi caduto dalla sedia: sembra sia vivamene sconsigliato associare, negli Host Definitions, un IP ad una specifica interfaccia. Quella che rappresenta una feature mirata alla sicurezza in realtà provoca problemi nell'applicazione delle regole di Packet Filtering (che possono non essere applicate), nel NAT ed, in generale, impatta nella velocità di navigazione. 

Si leggano i post dei moderatori del forum internazionale presenti in questi thread:

http://www.astaro.org/astaro-gateway-products/management-networking-logging-reporting/34082-dns.html#post157267

http://www.astaro.org/astaro-gateway-products/web-security-http-https-ftp-im-p2p-web-filtering-antivirus/34056-web-proxy-slow-again.html#post157097l

Qui troverete anche una feature request creata da uno dei moderatori affinché gli admin vengano allertati sui rischi dell'eventuale utilizzo di questa funzione.

Vi consiglio di accertarvi che nessuno dei vostri host abbia la voce "Bound to: X interface" impostata.

Un saluto
eclipse79

Prima di lanciare allarmismi, bisognerebbe rileggere con ATTENZIONE quello che il mio collega del supporto americano Jack Daniel ha scritto nel forum.

Tutte le funzionalità di sicurezza che si decidono di attivare vanno ben valutate in termini di impatto sulla configurazione. Quando si attiva il Binding di un oggetto su un'interfaccia, si obbliga IPTABLES  a far si che tutto il traffico relativo all'oggetto configurato passi da quell'interfaccia, e non è detto, soprattutto nei casi di reti complesse che sia sempre la soluzione migliore. La struttura delle catene di NETFILTER implementata è discretamente complessa e rappresenta lo scheletro di come tutto il traffico da / per il firewall deve sottostare, e quindi se non si ha esattamente chiaro quali possano essere gli effetti collaterali, per semplicità si può lasciare su ANY.

Poi come suggerito, se si configurano i soli oggetti host che provengo da internet li si associa all'interfaccia esterna, questo è un modo per rendere la configurazione sicura dal punto di vista dello spoofing di tipo 3.

Gabriele, (sorry, I usually can understand but don't write Italiano), everything you say is correct, and it was important to have the new "Internet" definition bound to the External interface.  Beyond that, it's almost never helpful to bind to an interface.  Au contraire, it can cause, for example, routing problems with VPNs and a perceived slowness (rebroadcasts) in response by a webserver.

Lately, unbinding definitions is the first thing I've had to do when "rescuing" a new customer who was smart enough to install by himself.  Theoretically, it shouldn't make any difference, but the capability is too new and there are too many as-yet-undiscovered glitches, so the warning by eclipse79 is not overstated.

Cheers - Bob

Hello Bob,
Thanks for post. My concern is only about the "tone" of the post. My role here is to be moderator of the italian part of the forum since I'm an Astaro employee and the only Astaro's engineer Italian native speaker. My role here is to provide information and answer questions without any process in between and be sure that this part of the forum is properly used. Therefore, whoever is free to write and ask whatever thing but being aware that the forum is periodically checked and the purpose is to share information and not send overstated warnings such as this one, because the language probably.

BTW, I already started investigating internally about this reported issue and I will come back very soon with some feedbacks.
Thanks for your valuable support.
Cheers.
Gabriele
EMEA Astaro Presales Engineer.