Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 3930 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

TFTP with Masquerade

Darryl Smith
Hi...

I have a network of machines at home, which are on the local side of an ASTARO firewall, with a private IP range (192.168.100.x). I have a server in the DMZ (203.42.174.49) and use IP Masquerade to transfer between the two.

That is working well, except I have a LABTAM X-Term that needs to use TFTP to boot. How do I open up the Masquerade and Packet Filter rules to it?

Thanks

Darryl


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to comeanddance
    ok i'll just add a recipe to this TFTP mess ..

    TFTP can be based on any proto, the RFC uses UDP as the example but more or less leaves open the choice of the actual implementation.

    TFTP rules WITHOUT NAT:

    1. open TCP/UDP port 69 from client to server
    2. open any TCP/UDP port from server to client

    depending on the type of the server or client, you may be able to limit the port range in rule 2 by configuring them to use a certain port range.


    I do not have a solution to use the ASL + NAT + TFTP combination, other than leaving out NAT .. 
    I would call this a NAT limitation.  

    Daryll: do you really need to masquerade between LAN and DMZ ? Why ?

    /tom
  • 0 in reply to tom_01
    G'Day Tom and others...

    Why MASQ DMZ to Internal? Until I thought about it, that sounded like a dumb question, but it is quite an intelligent question - and is a philosophy question really.

    Basically it is philosophy for me. I like to have a few servers in my DMZ, the ones that I can put external services on. When I MASQ DMZ - INTERNAL I make the internal more secure since there is no possible path through the firewall without the MASQ rules opening thinsg from the inside. 

    I think that this might be a paranoid mode, but I have been around long enough to know how insecure systems are. 

    Since MASQ only knows how to send a packet around if it has come from the inside we gain security. This is because there is no direct path between the networks on both sides of the MASQ. Therefore we are not relying entirely on firewall rules. If someone breaks into the DMZ, they will have a hard time to get into the internal network. 

    Since the machines on the internal network do not tend to be unix boxes, getting from the net to there is rather dificult. 

    Having written all that I am not sure I have answered the question...  

    Anyway I will keep reading and when I find a solution I will email it.. Until then I might use a couple of pairs from teh Cat 5 on my desk to feed directly from teh XTERM to the DMZ. This might be easier :-)

    Darryl
Unfiltered HTML