Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 3 subscribers
  • Views 1999 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Multizone DHCP sever wanted

WaMaR
Hello All,

I work in school.
I use\test ASL with 5 NIC for 5 zones and all work great and excellent but...

1 NIC --> Internet
2 NIC --> DMZ for students servers
3 NIC --> DMZ for school public servers
4 NIC --> LAN for students computers
5 NIC --> LAN for administration computers

I need DHCP for 4 and 5 zone (NICs).

When will be possible to do it with ASL?  


This thread was automatically locked due to age.
Parents
  • 0
    Not at least till the next version.
    Are you Linux fluent?
    Do a Search and they show you how to do it with some console mods (values are adjusted by editing a text configuration file...)
      
  • 0 in reply to SecApp
    I'm not Linux fluent but maybe some change in dhcpd.conf like this will work:
    ------------------------------------------------------------------------
    DHCP Server
    To use the DHCP server for both LANs:

    - Change to DHCPDARGS=eth1 to DHCPDARGS="eth1 eth2" (the quotes are important) in /etc/sysconfig/dhcpd
    - Add LAN #2 network information to /etc/dhcpd.conf... e.g.:

    subnet 192.168.1.0 netmask 255.255.255.0 {
       range 192.168.1.100 192.168.1.254;
       option subnet-mask 255.255.255.0;
       option broadcast-address 192.168.1.255;
       option routers 192.168.1.1;
    }

    subnet 10.0.0.0 netmask 255.255.255.0 {
       range 10.0.0.100 10.0.0.254;
       option subnet-mask 255.255.255.0;
       option broadcast-address 10.0.0.255;
       option routers 10.0.0.1;
    }
    Restart the DHCP server from the web-based administration tool, or from the command line with /etc/rc.d/init.d/dhcpd restart.

       
  • 0 in reply to WaMaR
    WaMaR,

    the DHCP config file isn't the problem but the way Astaro sets its auto filters. Most services run with their config mostly default config protected by packet filters. Go to 'WebAdmin[:P]acket Filter/Filter Livelog' to see how the concept works. All filters needed for the functionality of the firewall itself are set in AUTO chains so they match before the USR chains. In case of DHCP I think you are not able to set the needed filters via the webfrontend. 

    Hope you could get me
    cyclops 
       
  • 0 in reply to cyclops
    I feared it and probably, Will be better to wait for official version which have it. I hope, that there will not be for long.

    Best Regards,
    WaMaR  
  • 0 in reply to WaMaR
    Why don't you use a seperate DHCP server ?
    Every Linux distribution and even Windows Server can do this job for you.
    The firewall's only job should be to secure your system, for security reasons maybe it's not the best idea to solve everything with one box only.

    Just my thoughts.
    Regards, Karsten 
Reply
  • 0 in reply to WaMaR
    Why don't you use a seperate DHCP server ?
    Every Linux distribution and even Windows Server can do this job for you.
    The firewall's only job should be to secure your system, for security reasons maybe it's not the best idea to solve everything with one box only.

    Just my thoughts.
    Regards, Karsten 
Children
  • 0 in reply to KKnecht
    In answer to KKnecht:

    I somewhat agree with you on this point, but particularly when the proxy is a complex one.

    Sure, it would be safer to, say, get a Blade and put each proxy on its own OS (that might even be preferable from a performance standpoint for something like an ISP! Would be nice to make that configuration flexible, wouldn't it? Same box or distributed, your choice...)

    But, statistically speaking, if the proxy is a simple one the chances for exploit are reduced. Complex proxies, especially those having been recently modified and thus not really heavily field tested as they could be, offer a greater chance for exploit. Also, complex proxies are more likely to steal more CPU cycles from your packetfiltering tasks.

    I feel a little uneasy with, say, the Squid proxy (both with respect to the overhead and the firewalling security possibly being breached); personally, in a large shop that might be a target, I prefer to steer them towards using a dedicated HTTP proxy on a DMZ (Reed Electronics already noted it was a little sluggish supporting a number of users). But ISC's DHCP proxy (which Astaro uses) is meager in its resource utilization, quite stable, and is not being tweaked every few weeks. So it is not an unreasonable request to make things easier for the network administrator in bundling that one with the firewall. If there is another exploit, Astaro I'm sure will be on the ball with a patch, as they have been with remediating security issues (as opposed to broken functionality ones which should always take a back seat to security ones...).

    Also, DHCP is a protocol prone to hacker hijinks (if you're REALLY security conscious, you shouldn't use it, until it relies on some shared secret configuration information). So if you HAVE TO use DHCP because you're network is big, and somebody is monkeying around with it on your LAN, I'd want that centralized on the firewall to put together a big picture as to what network hijinks are going on (for example: "OK, I see he was trying to telnet out; then he started allocating DHCP leases so nobody else could use them..."). Hey, I could even add code to disable the filter rules and mail me a message when DHCP is being abused on the LAN! With the DHCP on a seperate box, that is another point of failure (network messaging) that could possibly short circuit that sort of security control mechanism.

    And frankly, I would sooner trust Astaro's conservativeness in choosing a version of DHCP proxy over many other software providers...