Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 2 subscribers
  • Views 3281 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNAT Rule Ordering Problem

danielrm26
Greetings,

I am having trouble getting multiple DNAT rules to act the way I want them to.

I have a few services in my DMZ that I want to explicitly forward traffic to - this all works perfectly.  I also have an IDS box in the same DMZ (on a hub) that I want to be able to see ALL traffic. So, what I was hoping to do is first forward all specific public traffic to the appropriate host in the DMZ, and then forward  everything else to the second 'internal' firewall so that all traffic would be seen by my IDS.

The problem is that this doesn't work.  If I enable a DNAT rule at the 'bottom' of the stack that says ANY-->WAN_ADDRESS-->INT_FIREWALL, it  goes by that rule first  and ignores my other predefined rules for the DMZ traffic.

How can I get it to do my DMZ rules first and then do my 'if not those --> all other to internal firewall' rule?

Any thoughts would be appreciated.


This thread was automatically locked due to age.
  • 0 in reply to Roland Gaspar
    Hello danielrm26,
    what should be the funktion of your 1st ASL-Box (that with the Internetconnection) what i understand you only will use it as a router and to terminate the pppoe from your isp. if you make a trafficforwarding for everything crossing the first ASL wich sense is there to use a firewall for this. and the thing with the IDS why would you let everything cross the first ASL the only thing you will reach is that your IDS will see the same as if you connect it via a hub before your first ASL Box.?.?.

    greets
    firebear
  • 0 in reply to firebear_01
    The purpose of this configuration would be to monitor everything hitting my WAN connection, and you are correct in that it would also make my first firewall largely pointless. 

    The issue is that I would like to be able to do this if I want to.  I would like to have the option to have all traffic DNAT'd to my second internal firewall if I would like to, so that my Snort box in the DMZ could see all traffic hitting the WAN.  In all honesty, I wouldn't keep it in that configuration for long; I just want to be able to if I want to.

    A better configuration is to let Snort sit in the DMZ, but to only pass the traffic back that is destined for the public servers in the DMZ.  This way Snort can watch that traffic alone, and not everything hitting the external interface of the first firewall, and I am probably going to end up doing that (with a dual homed Snort box) as my final configuration.

    Anyway, that is the reason - I just want to try it.

     [:)]
     
     [size="1"][ 01 January 2003, 19:53: Message edited by: danielrm26 ][/size]