Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 1423 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Astaro Firewall v4 behind Cisco Router 2620

Woollhara
Hi

I currently have a setup with a Cisco Router 2620 and a Cisco PIX506 firewall that looks as follows:

                INTERNET
                     |
Cisco Router 2620 (xxx.yyy.zzz.177/28)
                     |
                 switch  (Public IPs: xxx.yyy.zzz.180-190)
                     |
          Cisco Firewall Pix 506  (ext. interface xxx.yyy.zzz.178/28)
                     |               (global outbound xxx.yyy.zzz.179)
                     |               (int. interface 192.168.20.254/24)
                     |
                     |
            internal network (192.168.20.xxx)

Basically I want to get rid of the Cisco Firewall PIX506 and replace it with Astaro Firewall v4 (maybe in HA mode), I also want to have all the public IPs routed to servers in a DMZ.

So I suppose I should have The Astaro Firewall connected directly to the Cisco Router then all the public IPs will be mapped to the WAN interface and depending on the destination of the incoming packets I will route the traffic to different servers in the DMZ (or the internal network).
So for example, traffic to www.hutorm.org which resolves to xxx.yyy.zzz.185 would go to 192.168.10.100 in the DMZ

Am I making sense here  [:S]

Any info, tips much appreciated.

Thanks a lot.  


This thread was automatically locked due to age.
  • 0
    Hi,

    We have a similar network configuration. You define the public IP in the public interface. Then, you can stablish a NAT network translation to translate the traffic. This rules change the destination so the server with private ip address can take the packets. You need a rule to change from public to private, and other to change from private to public

    Best Regards  
  • 0 in reply to jmgarcia
    Hi

    Thanks and sorry not to have replied quickly.

    I think I understand the NAT part correctly, basically if I get traffic to xxx.yyy.zzz.185 (www) and the corresponding server in the DMZ is 192.168.10.100 (www) then I need to setup NAT to change the destination address and on the way out I need to change the source address.

    I'm still confused about the connection between the router and Astaro (public interface) though.

    Best Regards,   
  • 0 in reply to Woollhara
    Woolhara,

    you have to set up DNAT only - returning packets will be rewritten automatically.
    If you have servers which have to initiate connections itself you'd need additional
    SNAT rules. To connect your Cisco to ASL you could use a crossover cable.
    Leave the Cisco's configuration as it is and assign the address the PIX has now to ASL's
    external interface. All other addresses can be attached as so called alias interfaces 
    WebAdmin:Network/Interfaces, please use 32 bit as netmask.

    Please note that according packet filters have to point to the internal addresses of your servers.

    HTH
    o|iver