Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 1188 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

creating air-gap networks

timotheusd
Here's the deal. I sometimes work on other people's computers, knowing that they may have worms or viruses. Question is: will ASG for home users support the following?

eth0: WAN (Cable Modem) DHCP Client
eth1: Lan 1 192.168.0.1 no DHCP, and a fairly lax set of rules... (this is my home we're talking about after all.
eth2: Lan 2 192.168.1.1 ASG serves as DHCP server but sends the IP's for OpenDNS.org rather than passing the ones it gets from the cable modem. this interface has insanely tight rules. will only allow the suspect machine to access web sites and a few other key protocols like DNS. otherwise no access in or out.
eth3: Lan 3 restrictions somewhere between 1 and 2, in the event that I can't get something using LAN 2, but still don't trust the machine to be in the same network as my own machines.

the ASG would this do NAT for the 3 LAN's tying them to a single public IP and most importantly, not allowing any traffic to flow between the 3 LAN's.


This thread was automatically locked due to age.
  • 0
    I'm not sure if you can have different DNS settings for DHCP on each network.

    However, there should be nothing wrong with using OpenDNS for all your DNS, right?

    Make sure you have packetfilter rules AT THE TOP for LAN2, e.g.
    source LAN2, dest LAN1, drop or deny, with logging.
    (before any allow rules for lan2)

    ditto for lan3

    FWIW, I've done the same kinds of things with Astaro; used to have an internet cafe and a customer PC repair network on 2 seperate networks at my old job.

    Don't forget to setup Masquerading for each network. (what you called NAT in your last sentence.)

    Barry
  • 0 in reply to BarryG
    oh, ok, so, the DNS servers that the ASG hands out are a global setting. 

    would DHCP also have to be enabled globally? e.g. the ASG serves DHCP to all lan interfaces, or none?

    On lan 1, I need to use 192.168.0.3 as one of the DNS servers, because I'm running a win2k domain controller. incidentally, it's also the DNS server for that existing lan segment.
  • 0 in reply to timotheusd
    Different DHCP server def for each physical interface.