Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 2 subscribers
  • Views 1283 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

masquerading using DMZ IP on a 3 Interfaces ASL

mbartsch
Hello!
i had a 3 interfaces astaro , 
1 public interface (210.29.29.1/24) [EXT-INT] eth2
1 DMZ (210.29.30.1/24) [DMZ-INT] eth1
1 internal (10.3.0.0/24). [PRV-INT] eth0

if is set masqueradin using
PRV-INT -> EXT-INT it works , but if i set
PRV-INT -> DMZ-INT it did not work. using 
tcpdump -i eth2 icmp and doing some pings i realize that masquerading did not work using
PRV-INT -> DMZ-INT, but it works using
PRV-INT -> EXT-INT, and i can't use the public interface to go outside, and can't leave the DMZ network unprotected. does anyone suffer from this?
or is a design problem , if this is the case i can make a work around, but is not what i want.

Regards!


This thread was automatically locked due to age.
Parents
  • 0
    mbartsch,

    your description is a bit confusing.

     
    quote:
    1 public interface (210.29.29.1/24) [EXT-INT] eth2
    1 DMZ (210.29.30.1/24) [DMZ-INT] eth1
    1 internal (10.3.0.0/24). [PRV-INT] eth0


    O.K. your Interfaces

     
    quote:
    if is set masqueradin using
    PRV-INT -> EXT-INT it works , but if i set
    PRV-INT -> DMZ-INT it did not work. using 
    tcpdump -i eth2 icmp and doing some pings i realize that masquerading did not work using
    PRV-INT -> DMZ-INT, but it works using
    PRV-INT -> EXT-INT


    You masquerade the internal interface???
    Define your internal network and masquerade
    that. 

    If I understood you right you want to hide your
    internal addresses behind the DMZ addresses, in this case
    your default gateway has to be in the DMZ - I think
    you do not want that!

    You could configure an alias at your external
    Interface and use SNAT to translate internal
    addresses to this alias.

    regards
    ollion
  • 0 in reply to ollion
    Ollion,
    yes sorry, i try to masquerade the internal network wich is 10.3.0.0/24 , so all user from this 10.3.0.0/24 network,when go to the internet i want them to go out with the ip 210.29.30.1. i had a Cisco PIX Doing exactly this now and is working, but same configuration with ASL did not work, i think i maybe my mystake but i had double check all the configuration files. 
    the bad thing is if i put a tcpdump on the DMZ Network, i saw no trafic from my internal network, and if i tcpdump the external network i saw the trafic going out un-masqueraded.
    it looks for some strange reason it did not work  [:(]
Reply
  • 0 in reply to ollion
    Ollion,
    yes sorry, i try to masquerade the internal network wich is 10.3.0.0/24 , so all user from this 10.3.0.0/24 network,when go to the internet i want them to go out with the ip 210.29.30.1. i had a Cisco PIX Doing exactly this now and is working, but same configuration with ASL did not work, i think i maybe my mystake but i had double check all the configuration files. 
    the bad thing is if i put a tcpdump on the DMZ Network, i saw no trafic from my internal network, and if i tcpdump the external network i saw the trafic going out un-masqueraded.
    it looks for some strange reason it did not work  [:(]
Children
No Data
Unfiltered HTML