3 nic ASL, how to mask DMZ & xfer net?

Jeff,

I'll throw you some thoughts, but I am not 100% my approach will work for you. So please do some testing and/or verify it with others :-))
It's been a while since I did subnetting stuff, but your drawing troubles me quite a bit.. Perhaps it's just my braincells not keeping up the pace, but here goes..
Unless I'm wrong, you have some obscurities setup you've drawn. I'll explain what and why. 
If my deduction on this is dead wrong - don't hesitate speaking up.... 

I assume that the ISP router (ISP-R) is router that your ISP has placed in your offices. This router is probably the one that restricts you to two class C networks (perhaps with a 252-mask with your upstream provider). I also assume that you have no control of this router - which is very common.

-First problem-
With your 255.255.255.252 mask on the 20.0 network, you assign a 4 ip network (-2 for broadcast/network address) for the ISP-R to ASL network. 
Then you proceed to say that you want the rest of the 20.0 network in the DMZ zone. 

TROUBLE! By subnetting to the 252-mask in the first place, you have actually told the ISP-R, that you want 62 subnets with only 2 hosts in each!
AFAIK, You can't just "glue" the 61 other networks together in the DMZ again.
(I cant tell yo how...but MAYBE, with static routing assignments and supernetting, MAYBE you could solve it. Really nasty though, and only for experts.)

Solutions. 
1. Use IP unnumbered between ISP-R and ASL (very uncertain whether ASL supports this. Either way you'd waste quite a few addresses in the DMZ).
2. Subnet the class C network into two, with a 255.255.255.192 netmask. Gives you 64 hosts in the DMZ and 64 more hosts in the network between ISP-R and ASL.

-Second problem-
Assuming your ISP have put the ISP-R in charge of your two class C segments, and you don't have authority to set a static route on ISP-R, data will not find it's way to your Internal network..

I've never really seen two class C subnets in the same hierarchical level routed in succsession, but it is possible I think.

To route the two networks in succession, I believe you would need to update ISP-R with a static route that explictly says that traffic for the 21.0 network must be sent to the ASL gateway.

Nothing is impossible with TCP/IP, but if you're not an expert - I'd stay away from any oddities. 

PLEASE..someone help me on this one :-) I hope I'm not as full of crap as I'm afraid of.

Best regards,
Ørjan Sandland

[ 22 November 2001: Message edited by: Ørjan Sandland ]

I agree with Ørjan, but I am not a specialist.

Please take a look at http://www.astaro.org/cgi/ultimatebb.cgi?ubb=get_topic&f=6&t=000190

Your "Intern (3)" is more like a "DMZ_2 (3)" I would suggest.

hi jeff,

the best thing to do - i suppose - would be to get a small transfer network ( .../30 ) from your ISP and put it between router and asl-box. then you can do many things: use the a.b.20.0/24 network as DMZ and the other one as internal network; or you can use private IPs for your internal network and use both networks as DMZ (on different interfaces or one the same IF - as VIP).

bye
michael

Gateway for your DMZ is the IP of the NIC of the ASL. In your case a.b.20.5

Dear Ørjan,

Thanks for the reply. The reason why I posted here is that I am *not* sure I am doing the subnetting right. I appreciate your taking time to read and give your thoughts.

As it stands right now I have ownership of the two class C nets. The 20.0/24 is an external network directly attached to my ISP router (20.1). There is no DMZ or subnetting currently on either of the class C nets. There is a dual nic UNIX box acting as a lame router with some basic tcpwrapper stuff sitting between the 20.0/24 and 21.0/24 networks. The ASL box would take the place of this UNIX box and act as a real firewall/proxy server. 

I could do the two nic approach with ASL and it would be a easy install. I have read here that a three nic approach, putting the external/DMZ machines behind the asl firewall would be good so that some of the really unsavory stuff could be blocked from even the DMZ machines. Also I would get some solid traffic monitoring/useage statistics. (My ISP is offering me burstable rates and I would like some level of verifacation).

As I said there is currently no subnetting as I have in my drawing. This was just my assesment of what would have to be set up. My point of using .252 for a netmask on the router/dmz was to not use up so many IPs on the 20.0/24 class C in splitting the class C into a DMZ and router subnet. Especially since the ISP router side would only have the router and the ASL on it.

Ideas?

Jeff

Okay.. I am thinking I may be full of s#!t on one aspect of this config. 

I read the FAQ and I made the assumption (probably a mistake as usual) that the transfer network provided by the ISP would be just changing the netmask of the network provided and then I would have to mirror the netmask/subnet settings and create the DMZ and router connection. 

Does the FAQ statement about an ISP providing a transfer network mean that the ISP would provide a very small subnet on the router that was different from my currently assigned address blocks for the purpose of providing a mini subnet for the router to asl link? Where I would have my whole class C a.b.20.0/255.255.255.0 for the DMZ?

Which is it? I apologize if I sound more confused than before. If this were only scsi or fibrechannel I would have this stuff nailed...

Thanks...

Jeff

Jeff, first of all, can you tell me a little more about your provider router?

Do you have access to it, or at least the option to ask for some changes in it's routing?

We'll figure this out :-)

Ørjan

[ 23 November 2001: Message edited by: ElJefe ]

[ 23 November 2001: Message edited by: ElJefe ]

Ørjan,

I dont have router access. However my provider is AT&T (big brother). I am sure they have a new transfer nets they could cough me up one. After the clarifacation I would like to get a transfer subnet from them so I could use my entire class C for the DMZ without having to subnet it.

Now I have to ask AT&T. If they say no then I will be back to figuring out how to split mine up.

-Jeff

Jeff,

I think I have something similar to what you're talking about, but not really sure.  I have an internal class B network subnetted into three subnets.  One for Macs, one for Unix, Linux, FreeBSD, and one for NT.  I also have a Cisco Router provided by the ISP (shh, I hacked it though and put an access list on it, he he), and have it going to my ASL box which is my firewall/VPN.  From there, I also have it acting as a router and the data travels through it to the correct subnet.  I guess it kind of acts as a bridge between the ISP and the network, and then as a router for the internal network.  Does this idea help any?

-Randy