Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 3031 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

3 nic ASL, how to mask DMZ & xfer net?

ElJefe
Hello,

I am trying to configure a three nic ASL box. I have two full class C networks. I am taking one and splitting it to a small transfer network for the ISP router and the rest of the class C addresses to the DMZ. There is a jpg layout at:

http://home.san.rr.com/acheron/plan.jpg


I would appreacite it if anyone would look at the layout and see if I have the netmasks and addresses right for what I am trying to do.

Many Thanks!!

Jeff

View of ASL plan


This thread was automatically locked due to age.
Parents
  • 0
    Jeff,

    I'll throw you some thoughts, but I am not 100% my approach will work for you. So please do some testing and/or verify it with others :-))
    It's been a while since I did subnetting stuff, but your drawing troubles me quite a bit.. Perhaps it's just my braincells not keeping up the pace, but here goes..
    Unless I'm wrong, you have some obscurities setup you've drawn. I'll explain what and why. 
    If my deduction on this is dead wrong - don't hesitate speaking up.... 

    I assume that the ISP router (ISP-R) is router that your ISP has placed in your offices. This router is probably the one that restricts you to two class C networks (perhaps with a 252-mask with your upstream provider). I also assume that you have no control of this router - which is very common.

    -First problem-
    With your 255.255.255.252 mask on the 20.0 network, you assign a 4 ip network (-2 for broadcast/network address) for the ISP-R to ASL network. 
    Then you proceed to say that you want the rest of the 20.0 network in the DMZ zone. 

    TROUBLE! By subnetting to the 252-mask in the first place, you have actually told the ISP-R, that you want 62 subnets with only 2 hosts in each!
    AFAIK, You can't just "glue" the 61 other networks together in the DMZ again.
    (I cant tell yo how...but MAYBE, with static routing assignments and supernetting, MAYBE you could solve it. Really nasty though, and only for experts.)

    Solutions. 
    1. Use IP unnumbered between ISP-R and ASL (very uncertain whether ASL supports this. Either way you'd waste quite a few addresses in the DMZ).
    2. Subnet the class C network into two, with a 255.255.255.192 netmask. Gives you 64 hosts in the DMZ and 64 more hosts in the network between ISP-R and ASL.

    -Second problem-
    Assuming your ISP have put the ISP-R in charge of your two class C segments, and you don't have authority to set a static route on ISP-R, data will not find it's way to your Internal network..

    I've never really seen two class C subnets in the same hierarchical level routed in succsession, but it is possible I think.

    To route the two networks in succession, I believe you would need to update ISP-R with a static route that explictly says that traffic for the 21.0 network must be sent to the ASL gateway.

    Nothing is impossible with TCP/IP, but if you're not an expert - I'd stay away from any oddities. 

    PLEASE..someone help me on this one :-) I hope I'm not as full of crap as I'm afraid of.

    Best regards,
    Ørjan Sandland

    [ 22 November 2001: Message edited by: Ørjan Sandland ]

  • 0 in reply to Orjan Sandland
    I agree with Ørjan, but I am not a specialist.

    Please take a look at http://www.astaro.org/cgi/ultimatebb.cgi?ubb=get_topic&f=6&t=000190

    Your "Intern (3)" is more like a "DMZ_2 (3)" I would suggest.
  • 0 in reply to ElJefe
    hi jeff,

    the best thing to do - i suppose - would be to get a small transfer network ( .../30 ) from your ISP and put it between router and asl-box. then you can do many things: use the a.b.20.0/24 network as DMZ and the other one as internal network; or you can use private IPs for your internal network and use both networks as DMZ (on different interfaces or one the same IF - as VIP).

    bye
    michael
Reply
  • 0 in reply to ElJefe
    hi jeff,

    the best thing to do - i suppose - would be to get a small transfer network ( .../30 ) from your ISP and put it between router and asl-box. then you can do many things: use the a.b.20.0/24 network as DMZ and the other one as internal network; or you can use private IPs for your internal network and use both networks as DMZ (on different interfaces or one the same IF - as VIP).

    bye
    michael
Children
  • 0 in reply to Michael Ziegler
    Jeff, first of all, can you tell me a little more about your provider router?

    Do you have access to it, or at least the option to ask for some changes in it's routing?

    We'll figure this out :-)

    Ørjan
  • 0 in reply to Orjan Sandland


    [ 23 November 2001: Message edited by: ElJefe ]

  • 0 in reply to ElJefe
    Ørjan,

    I dont have router access. However my provider is AT&T (big brother). I am sure they have a new transfer nets they could cough me up one. After the clarifacation I would like to get a transfer subnet from them so I could use my entire class C for the DMZ without having to subnet it.

    Now I have to ask AT&T. If they say no then I will be back to figuring out how to split mine up.

    -Jeff
  • 0 in reply to ElJefe
    Jeff,

    I think I have something similar to what you're talking about, but not really sure.  I have an internal class B network subnetted into three subnets.  One for Macs, one for Unix, Linux, FreeBSD, and one for NT.  I also have a Cisco Router provided by the ISP (shh, I hacked it though and put an access list on it, he he), and have it going to my ASL box which is my firewall/VPN.  From there, I also have it acting as a router and the data travels through it to the correct subnet.  I guess it kind of acts as a bridge between the ISP and the network, and then as a router for the internal network.  Does this idea help any?

    -Randy
Unfiltered HTML