Thread Info
  • State Suggested Answer
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 8 replies
  • Answers 1 answer
  • Subscribers 3 subscribers
  • Views 23209 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

How to setup DMZ

ScottG
I searched the user bulletin board for the word DMZ and got 0 results.  There must something wrong with the search function.  I also searched V7 Admin guide and it didn't explain how to do this.  I have a 3rd network card in my Astaro v7.  What setting to I need to make a DMZ?

--Scott


This thread was automatically locked due to age.
Parents
  • 0
    You're going to build a DMZ by creating a subnet on your third network card that is separate from your internal (private) or external (public) networks. Then you're going to do all of the necessary DNAT and SNAT rules including packet filters. 

    Does that make sense?
  • 0 in reply to jjohnston62
    I'm new to this.  Here's what I am trying to accomplish and what I've done so for.  

    The astaro v7 is  for my home.  On the DMZ I want to connect a wireless access point that's really only going to be used by my Tivo DVR. I'll probably set a WEP password on the access access point.  I might attach a 2nd wireless access point that friends and family can connect too if they come over with their laptop.

    Here's what I've done so for the DMZ setup.  Is this correct?  Did I miss anything?

    Network > Interfaces > Added new interface for my 3rd NIC card called DMZ
    --The IP is a new subnet 192.168.117.1/24 (my internal subnet is 192.168.116.1/24)
    --Default Gateway checkbox is unchecked (not sure if this is correct)

    Network > DNS > Global Tab > Added DMZ (Network)

    Network > DHCP > Servers Tab > Added New DHCP Server: Interface=DMZ
    I kept the DHCP defaults for everything:
    --Range Start= 192.168.117.1
    --Range End=   192.168.117.254
    --DNS Server1= 192.168.117.1        
    --Default GW=  192.168.117.1
    --WINS Node Type= B-Node (no WINS)  - No idea what this is.

    Network Security > NAT > Masquerading > Added Masquerading rule: DMZ (Network) ---> External (WAN)

    Network Security > Packet Filter > Added new filter: Source=DMZ (Network), Service=Any, Destination=Any


    --Scott
Reply
  • 0 in reply to jjohnston62
    I'm new to this.  Here's what I am trying to accomplish and what I've done so for.  

    The astaro v7 is  for my home.  On the DMZ I want to connect a wireless access point that's really only going to be used by my Tivo DVR. I'll probably set a WEP password on the access access point.  I might attach a 2nd wireless access point that friends and family can connect too if they come over with their laptop.

    Here's what I've done so for the DMZ setup.  Is this correct?  Did I miss anything?

    Network > Interfaces > Added new interface for my 3rd NIC card called DMZ
    --The IP is a new subnet 192.168.117.1/24 (my internal subnet is 192.168.116.1/24)
    --Default Gateway checkbox is unchecked (not sure if this is correct)

    Network > DNS > Global Tab > Added DMZ (Network)

    Network > DHCP > Servers Tab > Added New DHCP Server: Interface=DMZ
    I kept the DHCP defaults for everything:
    --Range Start= 192.168.117.1
    --Range End=   192.168.117.254
    --DNS Server1= 192.168.117.1        
    --Default GW=  192.168.117.1
    --WINS Node Type= B-Node (no WINS)  - No idea what this is.

    Network Security > NAT > Masquerading > Added Masquerading rule: DMZ (Network) ---> External (WAN)

    Network Security > Packet Filter > Added new filter: Source=DMZ (Network), Service=Any, Destination=Any


    --Scott
Children
  • 0 in reply to ScottG
    Can anyone tell me if anything is mission from my previous post regarding setting up a DMZ?

    --Scott
  • +1 in reply to ScottG
    If you don't want the DMZ having access to your internal network (which, after all, why setup a DMZ if it's essentially going to be second local network), then you need to add a packet filter that DROPS all traffic from the DMZ to the internal network, and put this filter at the TOP of the list (e.g. #1).

    Network Security > Packet Filter > Added new filter: Source=DMZ (Network), Service=Any, Destination=Internal Network, Action=DROP

    You will still be able to access (from the internal network), any resources you have connecting through the DMZ network, but the DMZ will ONLY then have access to the internet and NOT to your internal network.

    If this is not what your wanting to do, then simply setup the interface for your access point as just a standard 3rd interface (which you've already done) and add the appropriate packet filters and masq rules.
  • 0 in reply to Jhaislet
    Thanks for the info. I don't want the DMZ to have access to my internal network.  I'll add the rule you mentioned.

    --Scott
  • 0 in reply to ScottG
    jjohnston62, 

    I added this packet filter rule and put it at the top: 
    Source=DMZ (Network), Service=Any, Destination=Internal Network, Action=DROP

    Another rule I have lower down is:
    Source=DMZ (Network), Service=Any, Destination=Any, Action=Allow

    Is this okay?  So the first rule will drip any traffic from the DMZ going to the Internal Network.  The second rule will allow all DMZ traffic to anywhere.  I'm thinking I should change the 2nd rule to:
    Source=DMZ (Network), Service=Any, Destination=External WAN (Network), Action=Allow

    If I did that, would I need the first rule?

    --Scott
  • 0 in reply to ScottG
    jjohnston62, 

    I added this packet filter rule and put it at the top: 
    Source=DMZ (Network), Service=Any, Destination=Internal Network, Action=DROP

    Another rule I have lower down is:
    Source=DMZ (Network), Service=Any, Destination=Any, Action=Allow

    Is this okay?  So the first rule will drip any traffic from the DMZ going to the Internal Network.  The second rule will allow all DMZ traffic to anywhere.  


    Correct.

    I'm thinking I should change the 2nd rule to:
    Source=DMZ (Network), Service=Any, Destination=External WAN (Network), Action=Allow


    The "External Network" is the subnet your ISP has you on, it's NOT the entire internet.

    Stay with what you have.

    Barry
Cookie Information Banner