Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 5883 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

difference between IP aliases and Proxy ARP

David Holden
Whats the difference between IP aliases and PROXY arp.

The context of my question is this:

my router (to internet) and firwall are on the same public network x.y.z.0/255.255.255.0

I want machines in my DMZ to be seen as having network addresses on this public network.

e.g.

for an http server in the DMZ (192.168.3.60) to be seen as public x.y.z.60

As I understand it packets coming in from the router to network x.y.z.0/255.255.255.0 looking for machine x.y.z.60 won't find the machine with this IP address (since it does not exist) unless I set up the red interface of the firewall to act as a proxy ARP for x.y.z.60 (is this correct?)

But now I read in the ASL help that there is something called IP aliases where a NIC can have more than one IP address, how is this different from proxy ARP.

e.g. would giving the red card an IP alias of x.y.z.60 be the same as proxy ARP?

 thanks for any help,

 Dave.


This thread was automatically locked due to age.
Parents
  • 0
    David,

    it is possible to assign up to 100 IP addresses
    (aliasses) to the external interface of your
    firewall. If you want to offer public services
    e.g. located in the DMZ, you would have to configure
    a lot of NAT rules, very annoying and not working with
    all services.

    In your case is possible to devide up the network 
    into 2 parts for example.
    If you do not have access to the internet router you'd
    have to enable proxy arp on the external!!! interface
    of your firewall (otherwise configure a static
    route for the DMZ).
    For the router the DMZ seems to be local, so it sends
    ARP requests for the IP addresses located in the DMZ,
    the firewall reponds to this requests, gets the
    packets and routes it to the DMZ
    Only filter rules are nescessary in this scenario.
    O.K. I know this would be a waste of IP addresses.

    Better, ask ask your provider for a 30bit transfer network (2host addresses)and would run
    the whole C-class network in one or more DMZ(s).


    Regards
    ollion

    [ 30 April 2002: Message edited by: ollion ]

  • 0 in reply to ollion
    hi ollion, thanks for the reply,

    Can you clarify what you mean by divide the network, do you mean subnet the network into two.

    If so how would this work, would I put the firewall and router on one subnet and set up my DMZ as the other subnet?

    thanks,

        dave.
Reply Children
No Data
Unfiltered HTML