Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 3 subscribers
  • Views 1162 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

One more shoot at DMZ HELP!!! Please Help!!!

cbarone
Hello All,

I have been working on setting up a DMZ for 2 weeks and am about to give up!!!My ISP will not help me out with the transfer subnet 255.255.255.252 for my block of eight public ips so I have to DNAT.  Here is my setup:

Astaro 2.0.23

768/384 DSL

Block of IP's=216.158.41.48/29 or 255.255.255.248.  This range includes 216.158.41.48 to 216.158.41.55.

Default Gateway=216.158.41.49

Three Nic Cards

Internal Nic=192.168.1.100
External Nic=216.158.41.53
DMZ Nic=192.168.2.100

The server in my DMZ is a public DNS and Webserver which uses ip 216.158.41.50.

Here are some rules I have in place just for my private network to access the internet (These rules work fine):

Masquerading

Internal Network --> External Nic

Packet Filtering Rules

Internal Network  Any Any Allow

Questions I have for DMZ Setup???

1)What ip address do I put on my DNS/Web Server located in the DMZ??? I need it to be available to the public with ip 216.158.41.50.

2)What packet filtering rules do I have to setup for my DMZ?

3)What DNAT rules do I have to setup for my DMZ?

4)What NIC card do I setup Proxy Arp?

5)Do I need to do any IP Aliasing?

I have read over 100 threads related to this and have read the FAQ multiple times.  I really need someone knowledgible to give me some guidance. 

Thanks you so much in advance.

cbarone@dca.net

[ 05 May 2002: Message edited by: Gert Hansen ]



This thread was automatically locked due to age.
  • 0
    Hi there, 

     
    quote:
     Questions I have for DMZ Setup???

    1)What ip address do I put on my DNS/Web Server located in the DMZ??? I need it to be available to the public with ip 216.158.41.50.

    2)What packet filtering rules do I have to setup for my DMZ?

    3)What DNAT rules do I have to setup for my DMZ?

    4)What NIC card do I setup Proxy Arp?

    5)Do I need to do any IP Aliasing?



    Here are some anwsers:

    First of there are two ways to handle this, one using IP ALiasing and DNAT and the second one using proxy ARP.

    In you case I would suggest the DNAT solution.

    to 1)
    give the DNS/WebServer a private IP from the 192.168.2.0/24 range (i.e: 192.168.2.200)

    to 2)
    Define a network:
    DNS_WEB_Server_private  192.168.2.200  255.255.255.255

    Add two packetfilter rules:
    Any DNS DNS_WEB_Server_private Allow
    Any HTTP DNS_WEB_Server_private Allow

    to 3)
    Define a network:
    DNS_WEB_Server_public  216.158.41.50  255.255.255.255
    Add two DNAT rules:
    DNS_WEB_Server_public DNS DNS_WEB_Server_private DNS
    DNS_WEB_Server_public HTTP DNS_WEB_Server_private HTTP

    to 4)
    You don't need proxy Arp for this setup.

    to 5)
    Add an alias IP on you external interface
    DNS_WEB_Server ethN 216.158.41.50 255.255.255.248

    This tells the firewall it is responsible for this ip address, even if it only DNAT it to the DMZ.

    This should be it.

    Now we have enableed Access from the internet to your DMZ. But the server is still not allowed to connect to the outside.
    For this you would need additional Packetfilterrules as well as MASQ or SNAT settings.

    kind regards
    Gert
  • 0 in reply to Gert Hansen
    When setting up the DNS/Web Server what should the default gateway and Primary DNS be set to?

    DMZ_Web_DNS_private = 192.168.2.200
    Subnet = 255.255.255.0
    Gateway = ??? (Should I use the IP of the DMZ Nic, Internal Nic or 216.158.41.49?

    Should I use 192.168.2.200 or 216.158.41.50 as the Primary DNS?

    Thank you so much, I think this is coming together.

    cbarone@dca.net
  • 0 in reply to cbarone
    Gert

    In trying to understand concepts better...why would you suggest DNAT vs ARP in this case? What advantage does one have over the other?

    Thanks
    Mark
  • 0 in reply to deeredealer
    I think I'd use Proxy arp, and a couple of static routes..

    I'm interested in your answer too mark  [:)]c reasons..

    FazMataz!
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML