Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 1401 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sliding back. Need a confirm on basic NAT setting please.

Heinz Wittenbecher
Thank you.

If I also allow DMZ to do webbrowsing (i.e. masqerade) would the 'any any allow' also mean that the DMZ could get back to the other PrivateLAN (Internal NIC)? (Which would be undesirable).

Heinz


This thread was automatically locked due to age.
Parents
  • 0
    Yes that is correct in most cases you don't want to have the DMZ access your Private Network in case a server in the DMZ was hacked they could get to your private Network.  Only if it is a established connection to the DMZ would it be allowed.  

    I have a question for you though, are you using DNAT and SNAT in your DMZ?

    Thanks.
  • 0 in reply to Travis Steele
    I'm planning to use DNAT to route some IP's/Services directly from WAN to LAN and I'm also going to have to do some mapping from a DMZ IP to a LAN IP. I did run a test on an earlier configuration and it worked, other than the long delay waiting for the login prompt (telnet).

    I'm currently starting a fresh install, hopefully the real one :-)

    Re the original question... would this work to give DMZ and LAN full internet access while still protecting the LAN (loosely put):

    1) LAN -->WAN any any allow
    2) DMZ-IP -?dnat?-> LAN-IP any any allow
    3) DMZ -->LAN any any deny
    4) DMZ-->WAN any any allow
    5) ANY any any deny

    DO I finally have the concept? I.e. If 2 matches 3 will not be checked/used?
    Rule 5 is not really needed as deny is implied but it would serve as a visual reminder.

    Heinz
  • 0 in reply to Heinz Wittenbecher
    I'm planning to use DNAT to route some IP's/Services directly from WAN to LAN and I'm also going to have to do some mapping from a DMZ IP to a LAN IP. I did run a test on an earlier configuration and it worked, other than the long delay waiting for the login prompt (telnet).

    I'm currently starting a fresh install, hopefully the real one :-)

    Re the original question... would this work to give DMZ and LAN full internet access while still protecting the LAN (loosely put):

    1) LAN -->WAN any any allow
    2) DMZ-IP -?dnat?-> LAN-IP any any allow
    3) DMZ -->LAN any any deny
    4) DMZ-->WAN any any allow
    5) ANY any any deny

    DO I finally have the concept? I.e. If 2 matches 3 will not be checked/used?
    Rule 5 is not really needed as deny is implied but it would serve as a visual reminder.

    Heinz

    hw: Oops, sorry about double post.

    [ 22 December 2001: Message edited by: Heinz Wittenbecher ]

Reply
  • 0 in reply to Heinz Wittenbecher
    I'm planning to use DNAT to route some IP's/Services directly from WAN to LAN and I'm also going to have to do some mapping from a DMZ IP to a LAN IP. I did run a test on an earlier configuration and it worked, other than the long delay waiting for the login prompt (telnet).

    I'm currently starting a fresh install, hopefully the real one :-)

    Re the original question... would this work to give DMZ and LAN full internet access while still protecting the LAN (loosely put):

    1) LAN -->WAN any any allow
    2) DMZ-IP -?dnat?-> LAN-IP any any allow
    3) DMZ -->LAN any any deny
    4) DMZ-->WAN any any allow
    5) ANY any any deny

    DO I finally have the concept? I.e. If 2 matches 3 will not be checked/used?
    Rule 5 is not really needed as deny is implied but it would serve as a visual reminder.

    Heinz

    hw: Oops, sorry about double post.

    [ 22 December 2001: Message edited by: Heinz Wittenbecher ]

Children
No Data
Unfiltered HTML