Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 2699 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IP Aliasing using netmask

Heinz Wittenbecher
I'm trying to alias a portion of our class C to the external interface with xxx.xxx.xxx.32 netmask 255.255.255.248.

It doesn't seem to work. Should it or does each alias have to be entered as a host (255.255.255.255)?

Or is it not working until DNAT ties the IP's to the private side of the LAN for those IP's?

Thanks in advance for replies and patience with a firewall newbie.

Heinz


This thread was automatically locked due to age.
Parents
  • 0
    Heinz,

    The depths of TCP/IP and subnetmasking is interesting and confusing. I like working with this type of issues, but I'd appreciate that you'd verify whatever suggestions I make with others :-))

    I'm assuming that you have an ISP router in house which controls the class C network (or a /24 segment network as I'm told it's called today).
    I also assume that you want to split off this little network to route between your ISP router and your firewall.

    First of all, you cant use two different subnet masks on the same segment (your /24 network remember).

    What you can do, is to split it in two using a subnetmask of .192 on your firewall. Doing this wastes 128 public IP addresses though, and you need to have the ISP router altered to make the routing work allright. Routing this way requires some odd routing statements, and I've never seen it used (not saying it's impossible), and I don't think it's considered best practice.

    Another option that doesn't require tricky static routing statements in the ISP router and your firewall, is to have the ISP router use a .192 subnetmask. 

    I think best practice would be to ask your ISP for a little network range to "glue" the ISP router and your firewall together. Alternatively, I think you could make use of an "IP classless" configuration (a concept I know very little about).

    Either way, you should contact your ISP to get this sorted out. I don't think there is an easy way for this type of issue.

    I've been trying to shed light to this type of routing/configuration lately, but there have been no guru's available for comments. 
    So I ask again - PLEASE step forward if you got some hardcore techie details on this.
    If not, I'll have to go to my cisco engineer and learn more ;-)

    Best regards,
    Ørjan Sandland
  • 0 in reply to Orjan Sandland
    Thank you for your reply Ørjan.

    I've kinda given up on the sub-netting in the real sense and I don't want to ask the ISP to make changes that I may not want a little later.

    I've decided to put both the DMZ and LAN on private IP's and use extIP-->intIP mapping. That means though that I have to get the LAN/DMZ NICs to answer to a bunch of IP addresses, i.e. aliasing. While the limitation of 100 aliases is not a problem at the moment it might be down the road, hence the question of using a netmask in an alias to cover x IP's, i.e. a sub-net worth depending on mask used.

    Of course maybe all it'll do is save some typing as the max 100 aliases limitation is probably not just a text entry limitation :-)

    Heinz
  • 0 in reply to Heinz Wittenbecher
    Heinz,

    an option I forgot to mention, is to use masquerading and private network addresses on your secure network and have the valid IP range on a DMZ network..

    You can do this by configuring proxy arp with the interface for the DMZ and the external interface.

    Just a thought.

    Ørjan S
Reply
  • 0 in reply to Heinz Wittenbecher
    Heinz,

    an option I forgot to mention, is to use masquerading and private network addresses on your secure network and have the valid IP range on a DMZ network..

    You can do this by configuring proxy arp with the interface for the DMZ and the external interface.

    Just a thought.

    Ørjan S
Children
  • 0 in reply to Orjan Sandland
    Thanks for the reminder,
    that might be just the ticket.

    I haven't got to the DMZ yet and that would certainly save a bunch of setup.

    Is it just a matter of checking the proxy arp box on that interface or?

    More reading :-)

    Heinz
  • 0 in reply to Heinz Wittenbecher
    Allright, I've got some huge "I'm sorry's" to do on the topic of routing... 

    Not only in this reply, but also in a couple of others, I've stated a few things that are downright wrong...

    First of all, it is possible to have several subnet masks in a range, for instance a C-class range.
    The only thing you need to be careful about, is that subnets within a 64 address subnet equals out in 64 (for instance 32+32 or 16+16+16+16).

    Secondly, I have stated that when subnetting, the first and the last network is lost due to the fact that you can't have all 0's or all 1's in the subnetmask. This is bullocks since a long time, as subnet-zero fixed this and is supported by most tcp/ip stacks today.

    I am about to go get myself a little update to my tcp/ip knowledge pretty soon, and I'll try not to be so cocky when I'm uncertain. :-)

    Ørjan
Unfiltered HTML