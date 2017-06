Ahoj,



hledam reseni, ktere by vyresilo nasledujici problem. Pouzivame ASA (verze 9.x) jako edge firewall a mimojine jsou tam nastaveny restrikce pomoci FQDN ACL. Dokud jsme nezacali propojovat serverove projekty s externimi sluzbami, ktere pro load-balancing pouzivaji velmi rychlou rotaci v DNS (<60s ttl), fungovalo to dobre. Nanestesti ASA pri prekladani FQDN na IP adresu pouziva metodu, ze k TTL pripocitava defaultne +1min, ktera se vice snizit neda. To zpusobuje problem s navazovanim spojeni smerem k tem externim sluzbam - casto se stava, ze si projekt vyzada pres DNS IP adresu, aby mohl navazat spojeni, ale toto spojeni je obcas navazano az pote, co dojde k rotaci dane IP u externi sluzby. Nasledkem toho ASA pri tom navazovani spojeni zjisti, ze pozadovane spojeni na IP != aktualni FQDN IP a spojeni tedy zamitne.



Jake jsou realne moznosti tohoto reseni? Zatim jsem se dobral k temto moznostem:

1] povoleni http(s) spojeni do internetu bez omezeni - to neni moc dobre z hlediska zabezpeceni serverovych sluzeb, zvlaste kdyz se pres to da tunelovat ledacos - takze to je spis nerealna moznost

2] nasmerovat provoz na externi sluzby na proxy/WAF - zatim to vypada na tuto moznost, tak zda je tu nejaka dalsi rozumna moznost krome squid? Nejsem si jist, zda treba takove pfsense jiz neni kanon na vrabce

3] bod 2] jako HW reseni - neorientuji se v tom, tak nevim ktera reseni jsou vhodna + jejich cenova politika



Prozatimni pozadavky jsou jasne - filtrace na zaklade url. Ale hodne by se mi hodilo neco, co by dokazalo fungovat s vice uzivateli (nejlepe podpora AD/LDAP), aby mohli treba vyvojari upravovat pravidla podle potreby a zaroven nemeli plny pristup ke vsem pravidlum, takze i webgui by bylo hodne vhodne.



Diky, MP