Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 1534 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

several DMZ's

_curious_
I have a Astaro 4.0 box set up with 5 nic's. I have one public IP for the wan interface, and a public /27 range for dmz use... now I want 3 different DMZ's with one nic each. Could I use the same subnetmask for all 3 DMZ's? That would save me a couple IP's (if it would work at all), but is there a disadvantage in doing it this way? 

Should I have separate ranges for each dmz? 
Do I have to?

Any suggestions on how it should be done properly?
Any suggestions on how it could work with what I have today?


This thread was automatically locked due to age.
Parents
  • 0
    Maybe you mean to say "use the same network number"? The subnet mask merely dictates what portion of the network address is common on a LAN interface; DMZs can have the same subnet mask, but if they have different high order octets in their network number, they will not directly be talking to each other.

    Since Astaro is a routing firewall, each interface is required to have a unique network number (actually, you can have duplicate network numbers on more than one interface, but the routing won't magically go across both interfaces since the firewall won't know which to take; well, at least in the current 4X version of Astaro...)

    A common configuration is to have each DMZ on a different network number. So DMZ1=192.168.1.0/24, DMZ2=192.168.2.0/24, ..., with /24 being the same thing as subnet mask 255.255.255.0; 255 decimal=11111111 binary=8 one bits -How many high order one bits are in the subnet mask 255.255.255.0? 24)

    Using DNAT rules on your external interface, you direct your scarce public Internet addresses to plentiful private ones on various DMZs. Example: blah.2 http will be redirected to 192.168.1.2, blah.3 smtp will be redirected to 192.168.2.2...
          
Reply
  • 0
    Maybe you mean to say "use the same network number"? The subnet mask merely dictates what portion of the network address is common on a LAN interface; DMZs can have the same subnet mask, but if they have different high order octets in their network number, they will not directly be talking to each other.

    Since Astaro is a routing firewall, each interface is required to have a unique network number (actually, you can have duplicate network numbers on more than one interface, but the routing won't magically go across both interfaces since the firewall won't know which to take; well, at least in the current 4X version of Astaro...)

    A common configuration is to have each DMZ on a different network number. So DMZ1=192.168.1.0/24, DMZ2=192.168.2.0/24, ..., with /24 being the same thing as subnet mask 255.255.255.0; 255 decimal=11111111 binary=8 one bits -How many high order one bits are in the subnet mask 255.255.255.0? 24)

    Using DNAT rules on your external interface, you direct your scarce public Internet addresses to plentiful private ones on various DMZs. Example: blah.2 http will be redirected to 192.168.1.2, blah.3 smtp will be redirected to 192.168.2.2...
          
Children
No Data