Public IPs in the DMZ ?

Hi Martin,

[ QUOTE ]
How do i use public ip in my dmz. What i wanna do is this:

internet -> Firewall (ASL) -> DMS (public IP) -> Firewall (PIX) -> internal network

Who do i do that     

[/ QUOTE ] 

I suppose you have a official ip network assigned to you...
So you have a access-router in front of your firewall as well...
You have to split your network into e.g.:

whole network 195.145.1.0/24
network1 195.145.1.0/25
network2 195.145.1.128/25
inside interface of your access-router: 195.145.1.1
routing entry on your access-router: 195.145.1.128/25 GW: 195.145.1.2
outside interface of your firewall: 195.145.1.2
dmz interface of your firewall: 195.145.1.129

Your clients/server within your dmz should be of the range from 195.145.1.130-254 with GW 195.145.1.129
With the PIX for 2 level design it should have 195.145.1.130 with GW 195.145.1.129

techno.kid    

Hmm. Not exatly what i wanted. I want to use ALL my ip's (a c net) in the dmz, not only half of them. Just like making the firewall trasparent  

The feature you need is called Proxy Arp !

B  

Is that a secure solution, or just a bad idea ? 

Best Solution would be doing it with routing/subnetting.
You can make a smaller Subnet in front of your ASL and in DMZ a bigger one. (or..erm...many small ones)
But you need access/config-rights on the ISP Router.

B  

Just use a transfernet.

http://docs.astaro.org/asl-faq.pl#4008  

hm,
many possibilities, i guess ;-)

do you need public ips in the internal area, too?
i guess PIX is another firewall-box,
so let's say, you have network cards at positions a - g
(internet)a -- b(ASL-box)c -- d(DMZ) - e(PIX)f - g(Internal)
with subnets for (a,b); (c,d,e); (f,g)
d and g can be more than one machine!
so my idea is:
a: your providers ip
b: your official ip (and aliase for all used ip's in DMZ or private)
ASL:

  
•  needs NAT rules to translate aliases to private adresses
    
•  needs route to private network behind PIX (192.168.2.0, gw 192.168.1.250
    
•  may need masq rule for 192.168.2.0
    
•  and of course all filter rules you want ... ;-)

[/list]
c: private adress 192.168.1.1
d: private adress 192.168.1.x, gateway 192.168.1.1, route for 192.168.2.0
e: 192.168.1.250, gateway 192.168.1.1
PIX:

  
•  your rules ?
    
•  NAT / masqerading ? (here or on ASL-box)

[/list]
f: 192.168.2.1
g: 192.168.2.x, gateway 192.168.2.1

i think, this could work, but didn't test it,
so good luck ;-)

i for myself had some problems with proxy-arp, so i took a transfer-network in the end.

oh - and  don't wonder, i took 250 as last adress, could be 254 of course, but nobody should  take 255 !

kind regards,
christian   

Why not drop the PIX box ?

INTERNET---ASTARO---Internal Private Lan
                          |
                        DMZ with public IP's

?

 

hmm. Thats the hole idea. I wanna use my public ip's in my dmz. Simon how do i do that ? 

If this is your "idea" then you should consider that you have no security since the DMZ is NOT behind the ASL!?

OK... the last one for your problem:

Setup a transfer network on your access router:
[router] .1  .2 [ASL].2  [LAN]

Connect the DMZ to the ASL:
[ASL].2  [DMZ]

Setup a route on your access router that points to 192.168.128.2 for network 195.145.1.0/24

Now your whole network 195.145.1.0 is in ONE DMZ and you need NO proxy arp entries...

techno.kid