Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 1400 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sliding back. Need a confirm on basic NAT setting please.

Heinz Wittenbecher
Thank you.

If I also allow DMZ to do webbrowsing (i.e. masqerade) would the 'any any allow' also mean that the DMZ could get back to the other PrivateLAN (Internal NIC)? (Which would be undesirable).

Heinz


This thread was automatically locked due to age.
  • 0
    Yes that is correct in most cases you don't want to have the DMZ access your Private Network in case a server in the DMZ was hacked they could get to your private Network.  Only if it is a established connection to the DMZ would it be allowed.  

    I have a question for you though, are you using DNAT and SNAT in your DMZ?

    Thanks.
  • 0 in reply to Travis Steele
    I'm planning to use DNAT to route some IP's/Services directly from WAN to LAN and I'm also going to have to do some mapping from a DMZ IP to a LAN IP. I did run a test on an earlier configuration and it worked, other than the long delay waiting for the login prompt (telnet).

    I'm currently starting a fresh install, hopefully the real one :-)

    Re the original question... would this work to give DMZ and LAN full internet access while still protecting the LAN (loosely put):

    1) LAN -->WAN any any allow
    2) DMZ-IP -?dnat?-> LAN-IP any any allow
    3) DMZ -->LAN any any deny
    4) DMZ-->WAN any any allow
    5) ANY any any deny

    DO I finally have the concept? I.e. If 2 matches 3 will not be checked/used?
    Rule 5 is not really needed as deny is implied but it would serve as a visual reminder.

    Heinz
  • 0 in reply to Heinz Wittenbecher
    I'm planning to use DNAT to route some IP's/Services directly from WAN to LAN and I'm also going to have to do some mapping from a DMZ IP to a LAN IP. I did run a test on an earlier configuration and it worked, other than the long delay waiting for the login prompt (telnet).

    I'm currently starting a fresh install, hopefully the real one :-)

    Re the original question... would this work to give DMZ and LAN full internet access while still protecting the LAN (loosely put):

    1) LAN -->WAN any any allow
    2) DMZ-IP -?dnat?-> LAN-IP any any allow
    3) DMZ -->LAN any any deny
    4) DMZ-->WAN any any allow
    5) ANY any any deny

    DO I finally have the concept? I.e. If 2 matches 3 will not be checked/used?
    Rule 5 is not really needed as deny is implied but it would serve as a visual reminder.

    Heinz

    hw: Oops, sorry about double post.

    [ 22 December 2001: Message edited by: Heinz Wittenbecher ]

  • 0
    When using Masqerading it's LANdefined-->Name of External Interface (WAN)?

    (LANdefined is 192.168.2.0 / 255.255.255.0)

    Do any rules have to be created to specifically allow the LAN to browse the Internet (WAN)?

    I did a fresh install due a NIC change and now I can't access the Internet from the PrivateLan.

    I don't think I had a rule before but perhaps I had a wide-open one.

    I'm still digging in the FAQ's etc as I think it was addressed there but drawing a blank sofar, hence apologies in advance.

    Heinz
  • 0 in reply to Heinz Wittenbecher
    Yes after you have your Private Net Defined all you need to do is make a masquerading rule and a filtering rule.

    Ex.

    Private Net : 192.168.1.0

    Setup a masquerading rule that says:

    Private Net -> Public

    then setup a filtering rule that says:

    PrivateNet -> any  any allow.

    That should be it.

    But don't forget to enable the rule  
Unfiltered HTML