setup guide ISP

We're doing this for our webservers and mail server at a colo ISP...

You want to have your ISP static-route all your incoming traffic to ASL's EXT interface, and from there, ASL will know what to do with it.

This EXT network from ASL to your ISP's router is sometimes called a transfer network, and needs to have at least 4 IPs in it (with most OSs): ASL, ISP Router, Net, Broadcast.
Some OSs (including linux IIRC) can forgo the Net and Broadcast)
This needs to be a different subnet than your DMZ.
e.g. a /30 net for the Transfer network, and /whatever you need for the DMZ.

ASLs gateway should be set to the ISP router
(But you will still need the ISP to setup the routing for it to work.)

There's some examples and diagrams here. (Solution 1)
 
Barry 

umm... why arent URLs working???

If I read this (and other post) I guess the best way is to use internal a 192.168.1.x range and map the external IP's by DNAT to the internal ones.

A benefiet of this setup could be a collocation movement in the future. Is this case everything can be the same on the servers and we only have to upgrade DNS servers and the firewall, or not?

Thx

NAT should work, but that's not what we're doing, and I think it's simpler without it.

If you have multiple servers, you'll have to setup NAT for each of them.
Also, I think you'll still have to get the ISP to setup a transfer network.

Barry

You'd also need to setup 1 Virtual interface for each real IP if you wanted to do it with NAT.

Ok, I think we don't need the NAT in our situation

I put my real public IP's in my DMZ.

We have a class C.  203.11.69.X

So the DMZ interface on ASL is 203.11.69.1 and then that connects to a switch which has all my servers connected to it.

No NAT / MASQ required then.  Just be careful with your filter rules.

We've a little experience on IP but we're new to firewalls... so all suggestions are welcome!

We got the following information from our ISP

Network: xxx.yyy.zzz.64/27
Netmask: 255.255.255.224
Default GW: xxx.yyy.zzz.65
Ip range: xxx.yyy.zzz.66 to xxx.yyy.zzz.94
Broadcast: xxx.yyy.zzz.95

How to setup ASL in this case:

          ROUTER ISP
                 |
              ASL (2nics: 1 to ips, 1 to switch)
                 |
       ___ SWITCH_________
       |                                    |
SERVER 1                       SERVER 2

Were to use what IP's and subnets?  

The servers are public hosting and mail servers.

Thx in advance!

I find it best for the external interface to be assigned an IP outside the subnet of your private IP allocations.

For instance our setup is:

ISP
|
W.X.Y.Z  (This IP is NOT in the 203.11.69.0 Class C
|
ASL->DMZ NIC-203.11.69.1->Switch->Other 203.11.69.X IP's
|
V
Private LAN NIC 192.168.0.1
|
V
Switch
|
V
Private LAN

I find it best for the external interface to be assigned an IP outside the subnet of your private IP allocations.

For instance our setup is:

ISP
|
W.X.Y.Z  (This IP is NOT in the 203.11.69.0 Class C
|
ASL->DMZ NIC-203.11.69.1->Switch->Other 203.11.69.X IP's
|
V
Private LAN NIC 192.168.0.1
|
V
Switch
|
V
Private LAN

We don't want to use LAN addresses like 192.168.X.X, why we cannot use ony the public range?

You can, I just put them in for example.  For your purposes you only need two NICs.

Ok, assigning the public IP's is no problem, but with gateway and subnet mask we have to use on the servers (and astaro) isn't clear for us.  Is is allways 255.255.255.254?  

We had a problem to assign the to NIC's an IP adres in the same subnet with the same gateway allready.