Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 2 subscribers
  • Views 7103 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

5 public interface firewall?

frizille
I just upgraded my cable modem service to the Comcast Pro service so I can get rid of my old 144K DSL Line and still have 'persistant' IP's I use to host my own small email, web, etc server. However, the service gives you 5 ip addresses from DHCP and they are not staticly assigned. The problem is that I would need my public interface to get 5 DHCP leases then proxy arp those for my NAT's. I have never heard of this being possible since the DHCP server is assigning them to a MAC Address. So I need a public interface with 5 different MAC Addresses on 1 firewall or 5 firewalls to secure 5 servers, each having a seperate public ip/internal ip NAT. 

My question is this: I know Astaro can have multiple IP's on a ethernet interface, but can they be DHCP and then spoof the MAC or are they just static addresses you add? The other option I can think of is to have 6 NIC's on the firewall, each one with DHCP enabled. Not sure how that will effect routing though if 5 of the 6 interfaces all have the same IP range/subnet mask.

Any help would be appreciated. I've got a half dozen old Pentium 166's laying around that I could do the 5 firewall option but thats a big pain in the ***.

frizlle  


This thread was automatically locked due to age.
Parents
  • 0
    I'm pretty sure when you do DHCP on the interface, it can only do one IP.

    I am most interested to hear what happens when you have two NICs on the same LAN doing DHCP. My instinct tells me that since the masks are the same, it won't fly. But maybe it will? The routes might just be entered as duplicates, so maybe it will always take the same interface out? Will the rules engine see the same packet on two interfaces and balk that spoofing is going on, and disallow the packets altogether?

    That's a puzzler...

    Try it!
      
  • 0 in reply to SecApp
    SecApp, I don't see a problem with multiple DHCP clients on the same Subnet. Each of his external interfaces will have it's own MAC and request it's own DHCP assigned address. Here's the thing though, if they're dynamic, how will a dynamic IP client work? He'll need one (or several) to allow people in the wild to find him. If he doesn't plan on hosting anything for the outside world on more than 1 IP, then why bother with more than 1 IP. 
  • 0 in reply to JimmyM
    Multiple NICs brokered the same network masks?
    Then the same packet shows up at two NICs?
    It's not going to see it as a spoof??
    I dunno; I'd test it.

    Maybe you're right; maybe it works...
      
  • 0 in reply to SecApp
    How would this be different than 2 PCs with DHCP assigned IPs operating on the same network. They operate on the same NetMask (255.255.255.0) but have different IPs and MACs.
    SecApp, this seems so readily apparent to me. Your input in these forums as always been excellent. That's why I'm now doubting my view on this. Is there something I'm missing? 
  • 0 in reply to JimmyM
    I'm sorry I didn't elaborate; they have the same network numbers (not just masks!). So when the same packet enters two interfaces simultaneously, I fear a kernel module might see it as spoof; not sure...
      
  • 0 in reply to SecApp
    Oh, I was under the impression he wanted a different IP address on each of the 5 physical external interfaces. If he uses separate physical interfaces this wouldn't be an issue since their separate MACs would receive different IPs. If he wants 5 DHCP assigned addresses on one physical interface then he's out of luck. 
Reply
  • 0 in reply to SecApp
    Oh, I was under the impression he wanted a different IP address on each of the 5 physical external interfaces. If he uses separate physical interfaces this wouldn't be an issue since their separate MACs would receive different IPs. If he wants 5 DHCP assigned addresses on one physical interface then he's out of luck. 
Children
  • 0 in reply to JimmyM
    Jim, even 5 ips on 5 interfaces is unlikely to work if they all have the same netmask... even if routing works, linux has problems with seeing the same traffic on multiple interfaces at once (or something like that. I ran into that problem when trying hogwash with both sides on the same hub).

    Barry
      
  • 0 in reply to BarryG
    [ QUOTE ]
    Jim, even 5 ips on 5 interfaces is unlikely to work if they all have the same netmask...  

    [/ QUOTE ]To be strictly technicall about this, ALL Ethernet interfaces that are connected to the same network segment, whether they are in the same machines or in different machines is not an issue, MUST use the same netmask. They must also have identical bit patterns within the netmask, since this represents the local network segment's name (or number).

    The netmask simply defines how many bits of the 32 bit IP address are being used for the local network number, with the remaining bits being used for the individual IP addresses assigned within the local network segment. If all the machines on a segment don't use the same netmask, they will end up having different broadcast addresses, as well as not being in aggreement as to what is a local address and what is a routed address.      
  • 0 in reply to BarryG
    [ QUOTE ]
    Jim, even 5 ips on 5 interfaces is unlikely to work if they all have the same netmask... even if routing works, linux has problems with seeing the same traffic on multiple interfaces at once (or something like that. I ran into that problem when trying hogwash with both sides on the same hub).

    Barry
       

    [/ QUOTE ]
    Obviously only one interface could be set up with default gateway, that would handle all of the outbound traffic. With all of the interfaces on the same netmask, Linux qould have no idea what to do with 5 interfaces on the same netmask and the same default gateway. If you only set one up with a default gateway, this should solve that problem.
    All oubound traffic goes out eth1(IP1) and returns traffic to that IP. The other 4 IP addresses could be used for hosting externally available services.
    It's the whole dynamic IP business I'm having trouble sorting out. How would he get an dynamic IP service to correctly identify his external IPs?

    Jim 
  • 0 in reply to JimmyM
    I think SNAT could work, but I don't know how you'd set it up initially. (chicken and egg problem)

    At my last job, our ISP wanted us to use DHCP (permanent lease), but Astaro 2.x didn't support it, so they told us we could just hard-code the IP into ASL, and it worked fine.
    Depends on the ISP though; that doesn't work at all if I try it on my Adelphia cablemodem.

    Barry
  • 0 in reply to BarryG
    Hi all!

    I've just configured a similar setup. I have 6 NIC's in my Astaro. 4 for WAN with dynamic IP Addresses from my Cable ISP, 1 for DMZ and 1 for LAN.
    Now I've set on the first WAN NIC the Gateway to "assign by DHCP" and the others to "None".
    Then I’ve setup a NAT Rule for the Internet access and an other one for my Webserver in the DMZ:

    LAN to WAN   Internal (Network) -> Any / Any   MASQ__WAN1   None
    DMZ to WAN   DMZ1 (Network) -> Any / Any   WAN2 (Address)   None

    First I had no success but the trick was to set the "SRC Translation" of the "DMZ to WAN" Rule to "WAN2 (Address) and to "MASQ_WAN2".

    Now the Websever is reachable under the IP XXX.XXX.XXX.42 (1. WAN NIC) and 
    the Astaro self (for example the SMTP Proxy) under the IP XXX.XXX.XXX.102 (2. WAN NIC).

    Sorry about my bad English...  [:$]

    jfeller
  • 0 in reply to jfeller
    Just curious: what hppens when you set all to assign by DHCP and a masquerade rule for each??
  • 0 in reply to SecApp
    I can only set one Gateway. When I set the Gateway on a second Interface to assign by DHCP the WebAdmin gives an Error. ("Can't have more than one default gateway.").
  • 0 in reply to jfeller
    [ QUOTE ]
    I can only set one Gateway. When I set the Gateway on a second Interface to assign by DHCP the WebAdmin gives an Error. ("Can't have more than one default gateway."). 

    [/ QUOTE ] Then there isn't much point in having several network cards on the WAN side. It would be more expedient to simply bind several secondary IP addresses to a single card instead. In order to properly use the WAN side IP addresses, they all have to default gateway back to the ISP's router.
  • 0 in reply to VelvetFog
    Can't do that in DHCP apparently.
  • 0 in reply to BarryG
    I need for every dynamic IP Address a network card because you can't use alias network cards with DHCP.
Cookie Information Banner