Guest User!

You are not Sophos Staff.

This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Network Route and Additional Address from the same Network

Hi, sorry the title is a little confusing but I couldn't think of a brief explanation. :-)

Ok here's my Situation:

We have a PI (Provider Independent) Network /24. At the moment our ISP routes this Network directly to our ASG. 

I have a couple of Additional Addresses configured and send to our Web Application Firewalls via Server Load Balancing .

We now would like to have a Transfer network between our ISP and our ASG and do the routing of our Network by ourself. 
In short we want to build a DMZ.

My question:
Is the ASG capable of having some of the addresses of the PI Network set as additional addresses and still send the requests to the Web Application Firewalls and additionally route my PI Network into my DMZ?

I just want to make sure my Web Servers will still be accessible when we make the changes. If this works I would be able to do the changes step by step.

I hope you understand my Question.

In short.
The new Setup should be.
ISP routes all traffic for our PI Network over the transfer network. 
I have a couple of addresses from the PI Network set as additional addresses in the ASG an forward these via Server Loadbalancing to my Web Application Firewalls. 
Additionally my ASG should route my PI Network into my newly created DMZ.

I don't know what is proccessed first. The Additional Addresses or the Network Routes.

I had the idea of subnetting and only route the subnets to my dmz. But the serves are scattered all over the network IPs. So theres no way of subnetting. :-(

Thanks.


This thread was automatically locked due to age.
Parents
  • The first link in my prior post begins with...
    Proxy ARP basically means that a particular machine (such as a firewall) will respond to ARP requests for hosts other than itself. This can be used to make a firewall mostly disappear from the machines on a network. 

    For an example, say you have a /28 subnet from your ISP that is routed through a Cisco router. Your router appears at the IP of x.x.x.97 with a network address of x.x.x.96 and a broadcast address of x.x.x.111. This leaves a usable chunk of 14 addresses for your hosts. 

    If you wanted to firewall these hosts from the internet without using proxy arp, you would need to either subnet your addresses and lose two more addresses for the new network and broadcast, plus half of your remaining IP's would be in the non-firewalled half. 

    Another method would be to have the firewall do port forwarding between all of the addresses to non-routed IP's (192.168.x.x) for your servers. Done properly, this would be okay. It isn't as transparent and may break some protocols like active FTP unless the firewall will compensate. 

    By using Proxy ARP, you can set up your machines in a DMZ to separate them from your client machines. This is also the least invasive method to set up, since you can keep the same IP's on all of the servers as you had when things weren't firewalled.
Reply
  • The first link in my prior post begins with...
    Proxy ARP basically means that a particular machine (such as a firewall) will respond to ARP requests for hosts other than itself. This can be used to make a firewall mostly disappear from the machines on a network. 

    For an example, say you have a /28 subnet from your ISP that is routed through a Cisco router. Your router appears at the IP of x.x.x.97 with a network address of x.x.x.96 and a broadcast address of x.x.x.111. This leaves a usable chunk of 14 addresses for your hosts. 

    If you wanted to firewall these hosts from the internet without using proxy arp, you would need to either subnet your addresses and lose two more addresses for the new network and broadcast, plus half of your remaining IP's would be in the non-firewalled half. 

    Another method would be to have the firewall do port forwarding between all of the addresses to non-routed IP's (192.168.x.x) for your servers. Done properly, this would be okay. It isn't as transparent and may break some protocols like active FTP unless the firewall will compensate. 

    By using Proxy ARP, you can set up your machines in a DMZ to separate them from your client machines. This is also the least invasive method to set up, since you can keep the same IP's on all of the servers as you had when things weren't firewalled.
Children
  • Sorry I really don't understand how this would work and how to se this up on my ASG? does that mean my serevrs have external or internal addresses?

    I don't see the difference to the setup with additional addresses?