Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 1820 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Problem setting up a DMZ

cleight
Hi guys I have been browsing this forum for awhile now and just decided to register because of a problem I am running into.

I have Astaro Security Gateway software running on a Pentium II 700 Mhz, 376mb ram, 20gb HDD.

I have the following configuration but for some reason all computers on the DMZ cannot access the internet?

Eth0-LAN-192.168.2.100/24 -->wireless access point with WPA encyption
Eth1-WAN-ISP provided IP --> cable modem 
Eth2-DMZ-10.32.16.0/8 --> Netgear LAN router configured as a switch

DNS:
Allowed networks are LAN and DMZ

DHCP Scopes:
IP:192.168.2.1-192.168.2.255 DNS:192.168.2.100 DGW: 192.168.2.100
IP:10.32.16.1-10.32.16.100 DNS1:68.87.75.194 DGW: 10.32.16.0

Packet Filter:
DMZ Network --> ANY --> WAN Network
WAN Network --> ANY --> DMZ Network

Masquerading:
LAN Network --> WAN
DMZ Network --> WAN

So the only thing I can think of is that I need a DNAT or SNAT rule defined to allow the DMZ network to access the internet? The whole point of the DMZ is to allow people unrestricted access to the internet through my network and at the same time keep them from accessing the LAN network or the Astaro Server.

Any help would be greatly appreciated!


This thread was automatically locked due to age.
Parents
  • 0
    Hi guys I have been browsing this forum for awhile now and just decided to register because of a problem I am running into.

    I have Astaro Security Gateway software running on a Pentium II 700 Mhz, 376mb ram, 20gb HDD.

    I have the following configuration but for some reason all computers on the DMZ cannot access the internet?

    Eth0-LAN-192.168.2.100/24 -->wireless access point with WPA encyption
    Eth1-WAN-ISP provided IP --> cable modem 
    Eth2-DMZ-10.32.16.0/8 --> Netgear LAN router configured as a switch

    DNS:
    Allowed networks are LAN and DMZ

    DHCP Scopes:
    IP:192.168.2.1-192.168.2.255 DNS:192.168.2.100 DGW: 192.168.2.100
    IP:10.32.16.1-10.32.16.100 DNS1:68.87.75.194 DGW: 10.32.16.0

    Packet Filter:
    DMZ Network --> ANY --> WAN Network
    WAN Network --> ANY --> DMZ Network

    Masquerading:
    LAN Network --> WAN
    DMZ Network --> WAN

    So the only thing I can think of is that I need a DNAT or SNAT rule defined to allow the DMZ network to access the internet? The whole point of the DMZ is to allow people unrestricted access to the internet through my network and at the same time keep them from accessing the LAN network or the Astaro Server.

    Any help would be greatly appreciated!


    That should be 
    DMZ -> ANY -> LAN - DROP (with logging)
    DMZ -> ANY -> ANY - Allow
    and 
    LAN Net -> ANY -> ANY - Allow

    Barry


    Barry Just wanted to let you know that I got this all figured out finally. Come to find out it was the PC. Also with the LAN rule you had me setup:
    Lan Net -> ANY -> Any - Allow
    Doing so opened the entire LAN to the internet and LimeWire was Able to get out through the LAN which I did not want.

    So I removed that LAN rule but kept the TWO DMZ rules and everything works fine. The DMZ is completely open to the internet Like I wanted and the LAN is completely Secure.

    Thanks for your help BARRY!
  • 0 in reply to cleight
    Barry Just wanted to let you know that I got this all figured out finally. Come to find out it was the PC. Also with the LAN rule you had me setup:
    Lan Net -> ANY -> Any - Allow
    Doing so opened the entire LAN to the internet and LimeWire was Able to get out through the LAN which I did not want.


    I'm glad you got it working.

    BTW, I'm not sure what you mean by "opened the entire LAN to the internet"... that rule only allowed OUTGOING traffic from your LAN. For most home users, that is OK.

    That is NOT the same as allowing INCOMING traffic from the internet to the LAN.

    If you don't want your kids using Limewire, etc., then I understand your perspective, but otherwise, I'm not sure.

    Barry
Reply
  • 0 in reply to cleight
    Barry Just wanted to let you know that I got this all figured out finally. Come to find out it was the PC. Also with the LAN rule you had me setup:
    Lan Net -> ANY -> Any - Allow
    Doing so opened the entire LAN to the internet and LimeWire was Able to get out through the LAN which I did not want.


    I'm glad you got it working.

    BTW, I'm not sure what you mean by "opened the entire LAN to the internet"... that rule only allowed OUTGOING traffic from your LAN. For most home users, that is OK.

    That is NOT the same as allowing INCOMING traffic from the internet to the LAN.

    If you don't want your kids using Limewire, etc., then I understand your perspective, but otherwise, I'm not sure.

    Barry
Children
  • 0 in reply to BarryG
    I'm glad you got it working.

    BTW, I'm not sure what you mean by "opened the entire LAN to the internet"... that rule only allowed OUTGOING traffic from your LAN. For most home users, that is OK.

    That is NOT the same as allowing INCOMING traffic from the internet to the LAN.

    If you don't want your kids using Limewire, etc., then I understand your perspective, but otherwise, I'm not sure.

    Barry


    Yeah I didn't want the LAN allowing all outgoing traffic to the internet so I removed that packet filter rule. So basically now anyone on the LAN can only browse the net and connect to VPN's everything else is blocked. 

    Everything else must go through the DMZ out to the internet for safety reasons and to keep garbage off and away from the LAN if you know what I mean.

    This setup works for me and my network, It is probably unique to me and my needs, but none the less I got it all working like I wanted with your help. Thanks BARRY!
Cookie Information Banner