Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 2 subscribers
  • Views 580 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

can I suppress broadcast and net alias of additional addresses?

AccuMegalith
I'm having to do a rushed migration from a Cisco ASA5510 HA pair to UTM 320s (FW 9.000-8).  We'd planned on doing this in a rational manner, but one of the ASAs quit so now I'm scrambling to get the configuration done.

The UTM will sit in front of an e-commerce co-lo installation, and thus will have multiple NATed sites and web services.  

I've finally wrapped my aching brain around the idea that I need to explicitly add the external addresses of these sites and services as additional addresses on the external interface.  Since I have dozens of distinct addresses, my network definition list is getting extremely cluttered with "broadcast addresses" and "attached network aliases" for each of these additional addresses.  I can understand one, for the primary external address, but two additional entries for each is kind of ridiculous.

There's no equivalent to explicitly adding these addresses in iOS for the ASA.  Is there any way to prevent these additional entities from being created?  Does the presence of these entities mean I'm creating the addresses wrong?  Is there a case study/step-by-step guide?  I'm finding the documentation a little thin.

Thanks in advance.


This thread was automatically locked due to age.
  • 0
    Hi,

    With that configuration, I don't think you can do anything about the definitions, but I do believe that version 9 has a 1 to 1 NAT which at least will make the NATs simpler.

    HOWEVER,
    If you can use routable IPs in your LAN/DMZ, then you can solve your problem.

    1. If you don't already have a big enough netblock, get one from your ISP or from ARIN.

    2. setup your DMZ to use that netblock

    3. only assign 1 IP to your EXT interface (use the IP your ISP gives you).

    4. have your ISP route all traffic for your netblock to your EXT IP.

    5. create packetfilter rules for inbound traffic to the DMZ.

    You don't need any DNATs or SNATs or Masq for your DMZ this way.

    Note that the PCI DSS specifically prohibits using routable addresses, but I don't think they are reasonable on this (and IPv6 may make it moot). You could possibly write an exception.

    Barry
  • 0
    You really should get some help from someone experienced with Astaro.  With your Cisco knowledge, you'll quickly understand, but you need someone to help you with designing things - especially now that you're in a hurry.

    Best of luck!

    Cheers - Bob