Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 3 subscribers
  • Views 1818 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

1 Astaro or 2?

JimmyM
What would be better. 1 ASL box with 3 NICs or 2 ASL boxes with 2 NICs each and a switch between them for DMZ connected machines? An external/Internal firewall arrangement. Most of the "How to set up a DMZ" diagrams show this sort of arrangement.


This thread was automatically locked due to age.
Parents
  • 0
    If I had the means, I would use two machines and hang the DMZ off the public network facing firewall.

    Internet  -- FW/Router ---- FW/Router -- Internal Network
                        |
                        |
                      DMZ
  • 0 in reply to MrZumma
    I have this...
    Linksys--ASL--Clients
              |
          Mail/FTP

    I'd like this...
    Linksys--ASL--hub--switch--ASL--Clients
                   |    |
                  IDS  Mail/FTP

    I had also considered using my Linksys DSL router/switch to hang 2 ASL boxes off of. I would forward mail and FTP ports to the server's ASL and Mail, FTP, etc could run on servers behind one ASL and my clients behind another. My Snort box could then only monitor traffic behind the server's firewall.
    Like this...
    Linksys--ASL--hub--switch--Mail/FTP
             |     |
             |    IDS
             |
             |--ASL--Clients

    I've made the decision to add some "features" to my network and I was wondering what input others would have.
     
     [size="1"][ 20 September 2002, 19:28: Message edited by: Jim M. ][/size]
  • 0 in reply to JimmyM
    I can't figure out how to get my net diagram to look like yours.
Reply Children
  • 0 in reply to JimmyM
    Originally posted by Jim M.:
    I can't figure out how to get my net diagram to look like yours.
    Control characters...  I use alt-255 to create the empty spaces.  [;)]
  • 0 in reply to MrZumma
    Hello Jim M why dont you use your ASL to connect your DMZ ? why do you use your linksys for this ?

    firebear
  • 0 in reply to firebear_01
    My Linksys is my interface with my DSL modem for PPPoE. I plug my ASL into the Linksys and just use Fixed IPs behind the Linksys. I'd rather not get into the PPPoE reset problems I've been reading about. I currently use 1 ASL box with a the DMZ for my mail and FTP. I just thought that with 2 ASLs, if the 1st ASL was compromised, only the DMZ would be at risk. My internal net would be protected by another ASL. I'll also be running Snort on a dedicated machine behind the 1st ASL or maybe between the Linksys and 1st ASL. We'll see.
     
     [size="1"][ 26 September 2002, 11:09: Message edited by: Jim M. ][/size]
  • 0 in reply to JimmyM
    Jim,

    I don't follow your logic.  If first ASL was compriomised wouldn't the second one be comprimised the same exact way?  It might make send if your second firewall software was something else.

    Also, I had my linksys router doing PPPOE but switched to ASL doing that recently it seems to work pretty well.
  • 0 in reply to Roman meytin
    Roman meytin,

    some organisations/authorities like the German BSI
    (http://www.bsi.de/english/index.htm) demand multilevel
    firewall systems.

    I am with you if the firewall was compromised due
    to security problems in certain applications used
    on the firewall, but not if it was possible to hack
    passwords for example, they should be different
    on all devices.

    In my personal opinion a multistage firewall isn't
    nescessary in most scenarios. Services except SMTP
    shouldn't be available (O.K. ident for chatters and gamers   [;)]  )
    for the public.

    You can be sure that Astaro does everything to keep
    the used applications and proxies on the latest,
    most secure version.

    read you
    o|iver
  • 0 in reply to oliver.desch
    Let me get this straight. If I use the following arrangement:
    -2 ASL 3.209s with different passwords.
    -Masq and DNAT only on external ASL.
    -Masq on internal ASL.
    -Only run services (DNS Proxy, DHCPD, etc) on the internal firewall.
    I'm no more secure than if I used just one?