Public IPs in the DMZ ?

hm,
many possibilities, i guess ;-)

do you need public ips in the internal area, too?
i guess PIX is another firewall-box,
so let's say, you have network cards at positions a - g
(internet)a -- b(ASL-box)c -- d(DMZ) - e(PIX)f - g(Internal)
with subnets for (a,b); (c,d,e); (f,g)
d and g can be more than one machine!
so my idea is:
a: your providers ip
b: your official ip (and aliase for all used ip's in DMZ or private)
ASL:

  
•  needs NAT rules to translate aliases to private adresses
    
•  needs route to private network behind PIX (192.168.2.0, gw 192.168.1.250
    
•  may need masq rule for 192.168.2.0
    
•  and of course all filter rules you want ... ;-)

[/list]
c: private adress 192.168.1.1
d: private adress 192.168.1.x, gateway 192.168.1.1, route for 192.168.2.0
e: 192.168.1.250, gateway 192.168.1.1
PIX:

  
•  your rules ?
    
•  NAT / masqerading ? (here or on ASL-box)

[/list]
f: 192.168.2.1
g: 192.168.2.x, gateway 192.168.2.1

i think, this could work, but didn't test it,
so good luck ;-)

i for myself had some problems with proxy-arp, so i took a transfer-network in the end.

oh - and  don't wonder, i took 250 as last adress, could be 254 of course, but nobody should  take 255 !

kind regards,
christian   

hm,
many possibilities, i guess ;-)

do you need public ips in the internal area, too?
i guess PIX is another firewall-box,
so let's say, you have network cards at positions a - g
(internet)a -- b(ASL-box)c -- d(DMZ) - e(PIX)f - g(Internal)
with subnets for (a,b); (c,d,e); (f,g)
d and g can be more than one machine!
so my idea is:
a: your providers ip
b: your official ip (and aliase for all used ip's in DMZ or private)
ASL:

  
•  needs NAT rules to translate aliases to private adresses
    
•  needs route to private network behind PIX (192.168.2.0, gw 192.168.1.250
    
•  may need masq rule for 192.168.2.0
    
•  and of course all filter rules you want ... ;-)

[/list]
c: private adress 192.168.1.1
d: private adress 192.168.1.x, gateway 192.168.1.1, route for 192.168.2.0
e: 192.168.1.250, gateway 192.168.1.1
PIX:

  
•  your rules ?
    
•  NAT / masqerading ? (here or on ASL-box)

[/list]
f: 192.168.2.1
g: 192.168.2.x, gateway 192.168.2.1

i think, this could work, but didn't test it,
so good luck ;-)

i for myself had some problems with proxy-arp, so i took a transfer-network in the end.

oh - and  don't wonder, i took 250 as last adress, could be 254 of course, but nobody should  take 255 !

kind regards,
christian   

Why not drop the PIX box ?

INTERNET---ASTARO---Internal Private Lan
                          |
                        DMZ with public IP's

?

 

hmm. Thats the hole idea. I wanna use my public ip's in my dmz. Simon how do i do that ? 

If this is your "idea" then you should consider that you have no security since the DMZ is NOT behind the ASL!?

OK... the last one for your problem:

Setup a transfer network on your access router:
[router] .1  .2 [ASL].2  [LAN]

Connect the DMZ to the ASL:
[ASL].2  [DMZ]

Setup a route on your access router that points to 192.168.128.2 for network 195.145.1.0/24

Now your whole network 195.145.1.0 is in ONE DMZ and you need NO proxy arp entries...

techno.kid     

Martin,
Stick 3 NIC's in the ASL box.
NIC1=Internet
NIC2=DMZ with public IP ie x.x.x.1
NIC3=Internal lan with private IP's

Connect NIC2 to a hub/switch and stick all your DMZ machines on that with public IP's

Create rules so that DMZ is secure from your internal LAN

Routing rules should automagically be created by Astaro.
Bingo, works. Same setup as I have here.
My internal lan is a 192.168.x.x network

My DMZ is my public class C network. 203.11.x.1-254
The firewalls DMZ NIC is one of the class C addresses.

You want to chat about it, grab Eyeball Chat from www.eyeballchat.com, my ID is Simon_Shaw 

I see you are in Denmark, probably best if you do want to chat about it try early morning to contact me.