This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HA active/active, firewall rules stop working 8.202

We have some problems lately, some of our firewall rules stop working during the day, after a reboot of one of the astaro's or sometimes after like 4 hours they are suddenly working again.

Another question, what you see on the attachment (HA configured active-passive) both asg320 shows active. Is that correct?


I updated last week to 8.202, then above problem occurred, can i simple restore back to 8.103? (from automatic backup)


This thread was automatically locked due to age.
Parents

  • But I don't get the second point with normal rules. Why to you think this won't work?
    The Interface Host definitions are used to see if rules belong to FORWARDING
    or the INPUT/OUTPUT chains. So as long as you don't want to allow traffic IN or OUT
    the ASG itself, binding a host definition to an interface should be fine...

    I agree, "should be fine" - but, it isn't always.  In fact, almost always, there's no advantage to binding definitions to an interface unless it's to fix a mistake.

    I seem to recall a situation where someone had masqed a VPN Pool on the Internal interface to be able to reach an internal server.  But, you know iptables and I don't, so perhaps you can explain why it's always OK to bind to an interface.

    I'm a math guy, so I always look to maximize the number of degrees of freedom - that would be enough justification for me to avoid resticting a definition to an interface.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply

  • But I don't get the second point with normal rules. Why to you think this won't work?
    The Interface Host definitions are used to see if rules belong to FORWARDING
    or the INPUT/OUTPUT chains. So as long as you don't want to allow traffic IN or OUT
    the ASG itself, binding a host definition to an interface should be fine...

    I agree, "should be fine" - but, it isn't always.  In fact, almost always, there's no advantage to binding definitions to an interface unless it's to fix a mistake.

    I seem to recall a situation where someone had masqed a VPN Pool on the Internal interface to be able to reach an internal server.  But, you know iptables and I don't, so perhaps you can explain why it's always OK to bind to an interface.

    I'm a math guy, so I always look to maximize the number of degrees of freedom - that would be enough justification for me to avoid resticting a definition to an interface.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data