Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 2559 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Routing with DMZ

qaw
I am attempting to set up a 3 card (w/DMZ) firewall. My connection to the real world is thru a V.35 connector on a Cisco router. I would like to use internal addresses where I can to keep from using up my IP's.

So, I have a router with an outside address to the internet and an inside address to the fire wall. Then my firewall's outside interface uses an internal address. 

Here's the question - how can I masquerade the inside LAN ip's to a real address when the outside firewall card is using an inside address?

internet(64.242.9.x)
  |
router
  |
router eth0 (10.1.1.1)
  |
firewall external (10.1.1.2)
  |
firewall inside (192.168.1.1)

Help!!

Frank Corak


This thread was automatically locked due to age.
Parents
  • 0
    hi frank,

    in your case, the router seems to do masquerading already.

    However, double masquerading should not be a problem (just masq. 192.168.1.x over iface 10.1.1.2).

    You write that you have official IPs. Why don't you use just one as the ext. firewall interface ?

    /tom
  • 0 in reply to tom_01
    I can use 1 IP for the external interface. That's fine, but how do I subnet (or route) to have other real addresses on the DMZ and what does the routing table have to be to make it work? 

    Or am I better off DNATing my DMZ addresses from the firewall?

    Be gentle, I'm new at this.

    Frank


     
    quote:
    Originally posted by tom:
    hi frank,

    in your case, the router seems to do masquerading already.

    However, double masquerading should not be a problem (just masq. 192.168.1.x over iface 10.1.1.2).

    You write that you have official IPs. Why don't you use just one as the ext. firewall interface ?

    /tom
Reply
  • 0 in reply to tom_01
    I can use 1 IP for the external interface. That's fine, but how do I subnet (or route) to have other real addresses on the DMZ and what does the routing table have to be to make it work? 

    Or am I better off DNATing my DMZ addresses from the firewall?

    Be gentle, I'm new at this.

    Frank


     
    quote:
    Originally posted by tom:
    hi frank,

    in your case, the router seems to do masquerading already.

    However, double masquerading should not be a problem (just masq. 192.168.1.x over iface 10.1.1.2).

    You write that you have official IPs. Why don't you use just one as the ext. firewall interface ?

    /tom
Children
  • 0 in reply to qaw
    Do you have control over the router ? If not, you might try the solution from the faq:



    If you have control over the router, you can also go for the "clean" solution and route your official network to the DMZ by adding a route to the router ...

    /tom
    
				                    
    
                
    
            
    
        	
    

		
		
		
		
	
    
	
    
		
    
			
		
    
	
    
	
    
		
						
				
				
				
				
				
		
		
    
			
		
    
	
    

    

    • 

	


		
			








































			






















Unfiltered HTML