DMZ setup with static IP?

With an assigned block of 8 IP addresses, you are left with 5 addresses that you can use. These are 105, 106, 107, 108 & 109. You have several alternatives available to you as to how you can use these addresses.

1. Bind all five addresses to the WAN interface of your ASL firewall. Use the first address (105) as the default WAN address that you masquerade your Internal network behind. Create specific SNAT rules mapping the remaining addresses to individual  servers on the DMZ network For the servers in the DMZ, you will likely need two SNAT rules for each, to ensure that the outbound traffic goes out through the same IP address it came in on, so that it doesn't exit via the 105 default IP address instead.

2. The other alternative is to connect a small Ethernet switch to the broadband modem. This allows you to place your public servers on  real world IP addresses, while your ASL box consumes just one real IP address, and becomes dedicated to protecting the Internal network. Only do this if you have properly hardened servers for the exposed position.

3. You can simply ignore the fact that you have 5 usable IP addresses available to you, and just use one of them for the ASL WAN interface. If your servers on the DMZ network provide different services, so that there is just one web server, one mail server, one FTP server, etc. than you can map everything out through a single real world IP address. This simplifies the SNAT rules, since the outbound traffic can now be taken care of by a single masquerading rule, masquerading the DMZ network behind the WAN interface, the same way you would masquerade the Internal network behind the WAN interface.

Thanks Velvet
I think the way that id rather use is option 1, but is it not possible to use the static ips as a network ie have each computer on the dmz take a static ip? rather as give it a private ip and forward all the hits to it.

Chris

[ QUOTE ]
 but is it not possible to use the static ips as a network ie have each computer on the dmz take a static ip? rather as give it a private ip and forward all the hits to it. 

[/ QUOTE ]For a router to function, the net numbers on each interface have to be different from each other. Thus you can not have the same IP address range on your DMZ interface as you do on your WAN interface.

If you want to have a firewall device, such as ASL, doing packet filtering, intrusion detection and stateful inspection of the traffic reaching your servers, then the servers have to sit on a hidden network segment (a DMZ) with SNAT masquerading rules in place to map the relevant service ports to the real world IP addresses on the WAN interface of the firewall.

You can't have it both ways, either you hide and protect your servers behind a routing firewall, and only map the ports that the world needs to see out through the router/network address translator, or you leave the servers publicly exposed on an external network with real world IP addresses.

got you thanks for the advice mate been very helpful.

Chris

soz to be a pain but am i right in saving id need to use

192.168.0.* for private network
192.168.1.* for DMZ 

Thanks Chris

[ QUOTE ]
soz to be a pain but am i right in saving id need to use

192.168.0.* for private network
192.168.1.* for DMZ

[/ QUOTE ] That would work, but if you should ever want to open VPN tunnels back to your network from elsewhere in the future, you should consider that the locations that you open a roadwarrier VPN tunnel from, may themselves be behind a network address translator (NAT)  in their end. In which case, they may well be using 192.168.0.* or 192.168.1.* for their local subnet. These two network numbers are the ones most commonly used as the default net number in all the little 4-port routers that they sell everywhere these days. This will then prevent you from routing a VPN tunnel back to your network, since the net number in each end will be the same. Routing traffic through a VPN tunnel won't work if the net numbers are the same in both ends.

My advice is to pick different local net numbers for your Astaro based system. In the 192.168 series of private IP addresses, you have 256 different class "C" subnets to pick from, so why use 0 & 1,  the most common net numbers used by everyone else?

You could, as an example, use 192.168.201.* and 192.168.202.* for your two subnets, and quarantee yourself that you won't have any future VPN routing conflicts with networks based on the commercial 4-port SOHO routers and their default net numbers.

In my home network, I use 192.168.99.* for my LAN, and 192.168.90.* for my DMZ. I have no problems when I open a PPTP VPN back to my LAN from a friend's or client's LAN, since they are all on different subnets, commonly the 192.168.0 or 192.168.1 subnet.

The key issue with IP addresses, is that they must be unique. When you deal with private range addresses pursuant to RFC 1918, you are using addresses that anyone else also can use on their private network. For the sake of VPN routing, it is important to make your choice of  private network addresses as unique as possible, so stay away from the really obvious ones.

[ QUOTE ]
soz to be a pain but am i right in saving id need to use

192.168.0.* for private network
192.168.1.* for DMZ

[/ QUOTE ] That would work, but if you should ever want to open VPN tunnels back to your network from elsewhere in the future, you should consider that the locations that you open a roadwarrier VPN tunnel from, may themselves be behind a network address translator (NAT)  in their end. In which case, they may well be using 192.168.0.* or 192.168.1.* for their local subnet. These two network numbers are the ones most commonly used as the default net number in all the little 4-port routers that they sell everywhere these days. This will then prevent you from routing a VPN tunnel back to your network, since the net number in each end will be the same. Routing traffic through a VPN tunnel won't work if the net numbers are the same in both ends.

My advice is to pick different local net numbers for your Astaro based system. In the 192.168 series of private IP addresses, you have 256 different class "C" subnets to pick from, so why use 0 & 1,  the most common net numbers used by everyone else?

You could, as an example, use 192.168.201.* and 192.168.202.* for your two subnets, and quarantee yourself that you won't have any future VPN routing conflicts with networks based on the commercial 4-port SOHO routers and their default net numbers.

In my home network, I use 192.168.99.* for my LAN, and 192.168.90.* for my DMZ. I have no problems when I open a PPTP VPN back to my LAN from a friend's or client's LAN, since they are all on different subnets, commonly the 192.168.0 or 192.168.1 subnet.

The key issue with IP addresses, is that they must be unique. When you deal with private range addresses pursuant to RFC 1918, you are using addresses that anyone else also can use on their private network. For the sake of VPN routing, it is important to make your choice of  private network addresses as unique as possible, so stay away from the really obvious ones.