Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 6369 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Transparent Firewall ??

RichardParry
Okies, well I posted this question initially in the wrong forum, so I will link to it here;

http://www.astaro.org/showflat.php?Cat=&Board=UBB2&Number=27924&page=0&view=collapsed&sb=5&o=&fpart=1

In essence, I have a subnet provided by my ISP, so I have 254 usable static routed IP's at my Cisco router...

The cisco plugs into my core switch (Nortel) and goes from there to the individual racks, which have the server switches (3Com or Cisco switches), the inturn go to the servers.... each IP has its own RDNS record on my internal DNS server too (but that has little relevance to this me thinks...)

Anyhow, I need a firewall which I can plug in (with 2x NIC's) between the Cisco router and my core switch, so ALL traffic going in or out of my network HAS to pass through this box... outbound traffic will have lesser rules applied, but incomming I want to have a rule for either groups or per IP, to restrict port access... I am sure this is possible with IPTables, which Astaro seems to use...

Anyhow, how would I go about installing this product though ? I have been told that both interfaces must be on a different subnet... however, how is that to work on MY network though ? As its going to be very difficult to change the IP's on every server I host (DNS records need updating etc, major problem)...

What is the best solution ? Thanx !  


This thread was automatically locked due to age.
Parents
  • 0
    This is what I would do, and I am assuming that your internal network is one flat IP network, or one IP subnet.  If the Nortel is capable of VLAN tagging, then I would plug the internal interface of the firewall into an internal or "trusted" VLAN.  Next, address the internal interface of the firewall using the same address as the internal facing address of the Cisco router.  This way, you will not have to readress your host's default gateway address whcih I am assuming now, is the Cisco router.  Next, connect the Cisco router into an external or "untrusted" VLAN on the Nortel switch.  This way, your traffic will be segmented at layer 2 and the firewall will route between your two VLAN/subnets.  Finally, the NAT can either take place on the Cisco router or ASL.  Either one should suffice.  For the IP connection between the Cisco router and the ASL, you can use a /30 private IP network...the addresses will have a 255.255.255.252 subnet mask.  If you wanted to, you could configure the Cisco router to bridge your Internet traffic at layer 2.  This way, the firewall's external interface would be the first IP point of entry into your network, and you could have all layer 3 and layer 4 processing happen at the firewall.  
  • 0 in reply to nicklassa
    I am afraid that the Nortel switch I am using does support VLAN's, but I must purchase Nortel Optivity to configure them (the Telnet/Console interface does not have ANY config for VLAN's unfortunately).... the Optivity software is very expensive

    Have you another way of doing this without VLAN's ?

    At the moment I do use just the one static block of IP's and one subnet, but as the network grows (which it is doing all the time) I will be needing more than 254x IP's (which should be in the next 6x months I would imagine), so I will be using another subnet.... I take it this is not a problem ??   But to be honest, I would feel a little uncomfortable about running more than 254x high traffic servers through the one box [:)]
Reply
  • 0 in reply to nicklassa
    I am afraid that the Nortel switch I am using does support VLAN's, but I must purchase Nortel Optivity to configure them (the Telnet/Console interface does not have ANY config for VLAN's unfortunately).... the Optivity software is very expensive

    Have you another way of doing this without VLAN's ?

    At the moment I do use just the one static block of IP's and one subnet, but as the network grows (which it is doing all the time) I will be needing more than 254x IP's (which should be in the next 6x months I would imagine), so I will be using another subnet.... I take it this is not a problem ??   But to be honest, I would feel a little uncomfortable about running more than 254x high traffic servers through the one box [:)]
Children
  • 0 in reply to RichardParry
    Then in that case, I would use a crossover cable to connect the router directly into the firewall, and then follow the same plan but disregard the VLAN part.  
  • 0 in reply to nicklassa
    [ QUOTE ]
    Then in that case, I would use a crossover cable to connect the router directly into the firewall, and then follow the same plan but disregard the VLAN part.   

    [/ QUOTE ]

    I am sorry, but can you give me step by step guides to this ? I have not configured the firewall on the Astaro box yet, but if you can just give me an idea of what needs to be changed, what its going to be changed to etc, then thats great !!  
  • 0 in reply to RichardParry
    Step 1: Configure firewall interfaces - Configure internal interface to use the current IP address that the servers use for the default gateway.  Configure external interface to be part of a new IP network, lets say 192.168.100.0/30.  The internal interface of the router could use 192.168.100.1 and the firewall could use 192.168.100.2.

    Step 2: Configure firewall NAT/Ruleset

    Step 3: Configure router - Configure the router to NAT (or PAT).  Install a static route to point to your internal IP network.  The next-hop IP address will be the external interface of the firewall.

    Step 4:  Physical connections - Connect crossover CAT-5 cable from ethernet interface on the router to the external interface of the firewall.  Connect regular CAT-5 cable from internal firewall interface to the Nortel switch.

    Step 5:  Verify that the hosts can ping the firewall which sihould be their default gateway address.  Verify accessibility to the WebAdmin component of the firewall.  Verify that traffic is passing and being audited by the firewall.

    If you wanted to bridge all the traffic so the firewall would be the first IP point of entry into your network, here is a sample router config that would make the Cisco router bridge traffic instead of route it.  If you did it this way, the external interface on the firewall would be configured with a public IP address given to you by your ISP.  If you needed to access the router remotely, use a console server or you could turn up a virtual interface that would be bound to the "real" external interface and use 192.168.100.2 255.255.255.252 as the IP address.  Enable SSH on the router.  Then you could SSH from the firewall to the router.  This is what I do.

    ====================
    interface Ethernet0 
     ip address 192.168.100.1 255.255.255.252 
     bridge-group 1 

    interface Atm0
     mac-address 0030.96f8.45bd (this is the MAC address of the router's ethernet interface)
     ip address 192.168.100.1 255.255.255.252
     bridge-group 1 

    bridge 1 protocol ieee 
    =================

    Have fun!  
  • 0 in reply to nicklassa
    excellent, I will give that a go...

    The Cisco router is already setup for just bridging (however the router is rented from my ISP so I do not have direct console access to it as I do not know the secret password....) does this change anything ?  
  • 0 in reply to RichardParry
    If the router is already bridging only and not routing, then there should not be any intervention required.  

    Question:  What is the current default gateway?  
  • 0 in reply to nicklassa
    [ QUOTE ]
    If the router is already bridging only and not routing, then there should not be any intervention required.  

    Question:  What is the current default gateway?   

    [/ QUOTE ]

    the default gateway for my network is the Cisco router  
  • 0 in reply to RichardParry
    In that case, the Cisco is routing (and bridging technically speaking).  If the ISP manages that router, then you will need them to intervene.  Remember, the 192.168.100.0 network we talked about in between the firewall's external interface and the router's LAN interface?  That is what will need to be configured.  Make the current gateway IP address, which is now on the router the address for the firewall's internal interface so the servers won't have to be reconfigured.   
  • 0 in reply to nicklassa
    okies, I am starting to understand a little more now (I am going to go on a CCNA course soon so this subnetting business is easier to understand)

    it may be possible for me to get hold of the password for this router, as in effect I do own it but its managed by the ISP remotely.... would I need to configure routing on it ?

    so lets say this is how it goes;

    ROUTER (example IP: 195.92.225.1)
    -
    Firewall Externall (IP: 192.168.0.100) (what subnet tho ?)
    FIREWALL HAPPENING
    Firewall Internal: (IP: 192.168.0.101) (what subnet tho ?)
    -
    Nortel Switch (what would this IP be, I take it will be able to stay what it was before ? (e.g. 195.92.225.2) ?
    -
    Server Switch (3Com or Cisco etc)
    -
    Servers (IP's stay the same) ?

    Am I correct ??  
  • 0 in reply to RichardParry
     Here is what I would do!

     ROUTER (example IP: 195.92.225.1)
      ROUTER (example IP: 195.92.225.1 )  External
    ROUTER (example IP: 192.168.0.128 NM: 255.255.255.128) Internal
    -
    Firewall Externall (IP: 192.168.0.100) (what subnet tho ?)
      Firewall Externall (IP: 192.168.0.129) 
    (NM: 255.255.255.128)
    (GW: 192.168.0.128)
    FIREWALL HAPPENING
    Firewall Internal: (IP: 192.168.0.101) (what subnet tho ?)
      Firewall Internal: (IP: 192.168.0.1) (NM: 255.255.255.128)
    -
    Nortel Switch (what would this IP be, I take it will be able to stay what it was before ? (e.g. 195.92.225.2) ?
      If its behind the Firewall it should stay in the 192.168.0.0  192.168.0.127 range)
    -
    Server Switch (3Com or Cisco etc)
    -
     Servers (IP's stay the same) ? 
    (IP: 192.168.0.2  192.168.0.127) 
    (NM: 255.255.255.128)
    (GW: 192.168.0.1)

    The netmask "255.255.255.128" devides a network in two separet networks!
    1. 192.168.0.0  192.168.0.127
    2. 192.168.0.128  192.168.0.255
    Ip 192.168.0.0 and 192.168.0.255 are reserved and can't be used
               
  • 0 in reply to Myggan
    ah, but I cannot change the IP's of the servers, they MUST stay on IP's my ISP has provided, I cannot change these IP's as it will affect hundreds of DNS records, which would need to be updated on both my DNS server and other's DNS which is out of the question.....

    also, I thought that both interfaces on the firewall needed a different subnet ? in your example, both have the same subnet mask... ?