Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 3411 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Question on DMZ

Christopher Parr
Hi!
I'm a home user running ASL4.015 with the following setup:

eth0 (LAN) 192.168.2.100
eth1 (DMZ) 172.16.2.100
eth2 (Internet) my external IP.

On eth0 and eth1 I have 1 PC each installed:

LAN: 192.168.2.200
DMZ: 172.16.2.200

In the Definitions - Network area I have specified the LAN as 192.168.2.0 and the DMZ as a host using the IP 172.16.2.200.

I have setup packet filters accordingly allowing dns, RSYNC (Portage from Gentoo) traceroute and ping out and SSH into the DMZ.

I have setup masquerading for the LAN-Internet Connection. 
But I cannot access RSYNC from the DMZ nor can I access the DMZ from the LAN using SSH. 

Do I also need co setup masquerading for the dmz?
If not, what do I have to do?

I'm planning to use the PC in the DMZ as Web-, SFTP- and IMAP-SSL server.

Please help.

Thanks   


This thread was automatically locked due to age.
Parents
  • 0
    You didn't mention anything about rules. Have you created appropriate rules? Configuring NAT and masquerading is not enough, you must to create rules to allow incoming/outgoing connections as well.

    If you haven't created any rules, try first to create a rule like:
    LAN_Network (192.168.2.0) -> Any -> Any

    This should allow you to access your DMZ now.
    If this works, start going through your necessary connections and create rules for them, checking each of them one by oone both internally and externally if possible.

    Good luck,
    Maurice    
  • 0 in reply to Maurice
    Hi!
    In the meantime I have ASL 4.017 running.

    My config has changed a bit:

    Internet - Zyxel Prestige 645 rourer - ASL

    The IPs are as follows:
    Router internal: 192.168.0.1 (all ports but 23 are being foprwarded to 192.168.0.2)

    ASL external: 192.168.0.2;
    ASL internal: 192.168.2.100
    ASL DMZ: 172.16.2.100

    My hosts have the following IPs:
    PC on internal LAN: 192.168.2.200
    Server on DMZ: 172.16.2.200

    I have defined the following networks:
    LAN: 192.168.2.0/255.255.255.0
    DMZ: 172.16.2.200 / 255.255.255.255
    Zyxel: 192.168.0.2 / 255.255.255.255

    Then I masqueraded LAN to the IP of the external Interfacd.

    Lan -> Any Allow: HTTP, HTTPS, FTP, DNS, IMAPS, SMTP, POP3, News, SSH, Jabber, RSYNC, Traceroute, PING
    DMZ -> Any: DNS, RSYNC, Traceroute, Ping
    Any -> DMZ: HTTP, HTTPS, SSH, IMAPS

    I can Access the web server from the Lan but not from the external Interface. 

    The server in the DMZ should havw a web server, a IMAP(S)-Mail server and an (S)FTP-Server which should be all available from the internet.

    What do I have to setup to make it work?

    Please help.

    Thanks a lot.  
Reply
  • 0 in reply to Maurice
    Hi!
    In the meantime I have ASL 4.017 running.

    My config has changed a bit:

    Internet - Zyxel Prestige 645 rourer - ASL

    The IPs are as follows:
    Router internal: 192.168.0.1 (all ports but 23 are being foprwarded to 192.168.0.2)

    ASL external: 192.168.0.2;
    ASL internal: 192.168.2.100
    ASL DMZ: 172.16.2.100

    My hosts have the following IPs:
    PC on internal LAN: 192.168.2.200
    Server on DMZ: 172.16.2.200

    I have defined the following networks:
    LAN: 192.168.2.0/255.255.255.0
    DMZ: 172.16.2.200 / 255.255.255.255
    Zyxel: 192.168.0.2 / 255.255.255.255

    Then I masqueraded LAN to the IP of the external Interfacd.

    Lan -> Any Allow: HTTP, HTTPS, FTP, DNS, IMAPS, SMTP, POP3, News, SSH, Jabber, RSYNC, Traceroute, PING
    DMZ -> Any: DNS, RSYNC, Traceroute, Ping
    Any -> DMZ: HTTP, HTTPS, SSH, IMAPS

    I can Access the web server from the Lan but not from the external Interface. 

    The server in the DMZ should havw a web server, a IMAP(S)-Mail server and an (S)FTP-Server which should be all available from the internet.

    What do I have to setup to make it work?

    Please help.

    Thanks a lot.  
Children
  • 0 in reply to Christopher Parr
    You will have to DNAT/SNAT connections coming in into your external IP (192.168.0.2), to the server in your DMZ (172.16.2.200), alas, since your so-called external IP on the ASL is actually an internal network, you have to setup the routing tables on your router (or ask your ISP to do it for you).

    You should ask them to route all required connections (HTTP, FTP etc.) from the Zyxel external REAL IP, to the external IP of the ASL (192.168.0.2).

    Once this is set you will be able to move to the next step and create relevant rules to route these connections to the server in your DMZ.

    I would suggest you to setup the first phase I mentioned here, and then PM me for explanations for the next step.

    Good luck
    Maurice  
  • 0 in reply to Maurice
    I'm wondering if it is possible to route the incoming queries (from the internet, through the router)  at Firewall level instead than acting at the router level (the Zyxel device, in the case of our friend...).

    Would it make sense or all HTTP connections would be routed to the DMZ (including those in reply to  the LAN's outgoing requests)?

    Just to understand better, having a similar configuration to implement...   
  • 0 in reply to friscom
    Hi,
    also when it gets routed its going through packetfilter or proxy. the replys to your internal network are routed to so they dont go into your dmz they go into your internal lan also trough packetfilter or proxy cause its a stateful firewall and it knows where it has to send the replys.

    firebear