Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 2723 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Routing problem Transfer network ??

joha
hi,

I have a small problem i can't figure out.
I looked through the Faq's but it surfed over the part in #4008 


I have a small net 193.xx.xx.xx/248 

I have full access to my internet router.

But I can't figure out howto do this setup:
example
193.xx.xx.129/29 --> Default GW to internet
193.xx.xx.130/29 --> IP on ASL gw 193.xx.xx.129
193.xx.xx.130/29 --> should do NAT masqurating to LAN 192.168.0.0/24
193.xx.xx.134/29 is ASL NIC in DMZ-zone.
193.xx.xx.131 --> HOST in DMZ
193.xx.xx.132 --> HOST in DMZ
193.xx.xx.133 --> HOST in DMZ

Does anybody have a working sample, and do I need to do anything on the ISP router ?

Basically i need to know more about transfer network.
(i can see that i am not the only one in doubt)
http://www.astaro.org/cgi/ultimatebb.cgi?ubb=get_topic&f=11&t=000417

Thanx in advance. Help is highly apreciated.
Regards.

[ 18 March 2002: Message edited by: joha ]

[ 18 March 2002: Message edited by: joha ]



This thread was automatically locked due to age.
Parents
  • 0
    Hi Joha,

    I asked the question about transfer networks. I haven't had any replies yet but what I can work out so far from reading around and banging my head against a wall is the following:

    The reason there is a need for a "transfer network" is that if your router is on the same network as your public IP numbers then when connections come in from the internet to a machine X behind your firewall in the DMZ the router will try and do an ARP transmission to X but since it is behind your firewall it will fail since no actual system is using this address.


    The transfer network seems to be a network supporting 2 hosts, one for you inward router interface and one for your external firewall interface. Since these are now on a different network to you public IP address (e.g. machine X) the router will not ARP machine X and defer to its routing table which should point it the firewall interface.

    The 2nd solution in the FAQ talks about setting up  
    ARP proxying so that your firewall responds to ARP requests for the translated address.

    Apparently another way around this problem is that if your router supports static ARP entries you could create a entry in the router mapping the MAC address of the firewalls external interface to the IP of machine X so that the router does not need to do an ARP.


    Please read the above with a large bag of salt as I am still trying to understand this stuff myself,

     best regards,

        dave.
  • 0 in reply to David Holden
    Hi Dave.

    Thanx, I am getting closer. If i find a solution i will post it here. - "Am I the only one that think there is a need of an ASL for dummies ?"
  • 0 in reply to joha
    Hi,

    i will try to you you some tips ;-)

    -------------------------------------------------

    >But I can't figure out howto do this setup:
    example
    >193.xx.xx.129/29 --> Default GW to internet

    okay.

    >193.xx.xx.130/29 --> IP on ASL gw 193.xx.xx.129

    okay.

    >193.xx.xx.130/29 --> should do NAT masqurating to LAN 192.168.0.0/24

    Easy NATing to the outside:

    1) Define in Menue/Defnition an entry for your private network 192.168.0.0/24 (for ex. named "MYLAN")

    2)Enable Menue/Network/Masquerading/; select left the 193.xx.xx.130 and on the right side "MYLAN"

    >193.xx.xx.134/29 is ASL NIC in DMZ-zone.

    You have enable proxy-arp (bridging) on the extern interface (193.xx.xx.130) .....but I would prefer using DNATing......because it is more secure

    >193.xx.xx.131 --> HOST in DMZ

    ex. define a paket filter rule which allows http traffic from ANY HTTP 193.xx.xx.131 ALLOW

    >193.xx.xx.132 --> HOST in DMZ

    ex. define a paket filter rule which allows ftp traffic from ANY FTP 193.xx.xx.132 ALLOW

    >193.xx.xx.133 --> HOST in DMZ

    ex. define a paket filter rule which allows ANY traffic from ANY ANY 193.xx.xx.132 ALLOW

    cheers
      claus

    [ 21 March 2002: Message edited by: ClausP ]

Reply
  • 0 in reply to joha
    Hi,

    i will try to you you some tips ;-)

    -------------------------------------------------

    >But I can't figure out howto do this setup:
    example
    >193.xx.xx.129/29 --> Default GW to internet

    okay.

    >193.xx.xx.130/29 --> IP on ASL gw 193.xx.xx.129

    okay.

    >193.xx.xx.130/29 --> should do NAT masqurating to LAN 192.168.0.0/24

    Easy NATing to the outside:

    1) Define in Menue/Defnition an entry for your private network 192.168.0.0/24 (for ex. named "MYLAN")

    2)Enable Menue/Network/Masquerading/; select left the 193.xx.xx.130 and on the right side "MYLAN"

    >193.xx.xx.134/29 is ASL NIC in DMZ-zone.

    You have enable proxy-arp (bridging) on the extern interface (193.xx.xx.130) .....but I would prefer using DNATing......because it is more secure

    >193.xx.xx.131 --> HOST in DMZ

    ex. define a paket filter rule which allows http traffic from ANY HTTP 193.xx.xx.131 ALLOW

    >193.xx.xx.132 --> HOST in DMZ

    ex. define a paket filter rule which allows ftp traffic from ANY FTP 193.xx.xx.132 ALLOW

    >193.xx.xx.133 --> HOST in DMZ

    ex. define a paket filter rule which allows ANY traffic from ANY ANY 193.xx.xx.132 ALLOW

    cheers
      claus

    [ 21 March 2002: Message edited by: ClausP ]

Children
No Data
Unfiltered HTML