Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 1830 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

can access...

blueorder
DMZ from internal network but in turn can access internal network from DMZ...I though DMZ was not able to access Internal Network...

I have one MASQ between internal network and DMZ so I can access web server files to edit them and I can remote administer the mail server.  Here is the entry:

Name: DMZ Access
Rule Type: Masquerading
Network: Internal_Network_
Interface: DMZ

Also, I have a packet ilter rule: DMZ_Network/Any/Any/Allow
(i think this might be the culprit but don't know what to change it too)...tried DMZ_Network/Any/External_Network_/Allow but then I couldn't access the outside from the server (usin IE to surf to Google)

I tried adding a pcket filter rule to drop anything from DMZ to Internal_Network_....no worky...

any advice?  TIA   


This thread was automatically locked due to age.
Parents
  • 0
    What is your packet filter rules for the DMZ ? Do you have it set to access any server? 

    If you dont want to allow access from the DMZ to internal_interface make it so in the packet filter..


    From Client: DMZ  To Server: External_interface 

    Service: any   action: allow  


    Cheers.............  
  • 0 in reply to fxdsuperglide
    tried that (DMZ/Any/External_Interface_/Allow) and I cant go to google through IE from the mail/web server but I am able to receive email and people can see the site so I guess that's what I want after all....

    one thing is that mail delivery now takes quite a bit of time...any suggestions? (using IMAP for mail server)

    thanks  
Reply
  • 0 in reply to fxdsuperglide
    tried that (DMZ/Any/External_Interface_/Allow) and I cant go to google through IE from the mail/web server but I am able to receive email and people can see the site so I guess that's what I want after all....

    one thing is that mail delivery now takes quite a bit of time...any suggestions? (using IMAP for mail server)

    thanks  
Children
  • 0 in reply to blueorder
    Assuming you want both the Internal network and the DMZ to get out to the Internet, you should have a masquerade rule for each network (or you can conglomertae them under one broad network definition; 192.168.0.0/16, for example; can you masquerade a network group?? If so, that too...)

    So internal_network__ is 192.168.2.0/24?
    And DMZ_network__ is 192.168.3.0/24?
      
  • 0 in reply to SecApp
    Fired up HTTP Transparent Proxy and now I can access web through browser on server on DMZ, am receiving mail and outside users can access web site... (also using DMZ/Any/External_Interface_/Allow)...

    Tried accessing 192.168.2.0 network (internal) from 192.168.3.0 (DMZ) and nothing...I'm happy

    I know this is somewhat off-topic but here it goes.  When I activated HTTP proxy, I also activated DNS Proxy, can you guys point out some pros/cons to using these...

    Thanks...    
  • 0 in reply to blueorder
    The Pro: they're probably more secure than anything you have.

    The Con: they will steal some CPU cycles from your firewalling tasks -usually that is not a concern for most shops, since packet processing demands for most are not significant...

    Some people would prefer from a security standpoint to have each proxy on its own dedicated box; but that may not be a practical or economical option for everyone.

    If you feel you have a proxy that, on some ideosyncratic grounds, is a better fit for your shop than Astaro's, you should use it; otherwise, use Astaro's...
  • 0 in reply to SecApp
    Thanks for the reply...I would be using it for a home network so I won't be anywhere near tasking it...

    I am going to try them out (HTTP & DNS Proxy)...gonna head over to the Proxy Services side of the forum and debate what type of HTTP proxy to use...

    Thanks again