Terminal service from Internal network to DMZ

Can you ping the machines on the DMZ network from the Internal network?

I can on my setup, and I use these two masquerading rules:

DMZ_NAT DMZ_Network__ -> All / All MASQ__External None
Local_NAT  Internal_Network__ -> All / All  MASQ__External None
  

Ok I added your NAT rule...still no joy. I can ping the DMZ interface on ASL but cannot ping any of the DMZ servers. 

Perhaps it is a filtering issue.

In my filters, I have:
Internal__Network Any Any Allow
DMZ__Network {DMZ-Services} Any Allow

My {DMZ-Services} service group is a list of the specific services that I allow out from the DMZ network.

{ping}, {traceroute}, DNS, FTP, HTTP, NTP, PPTP and several others are included in the service group. I only have the services that I really need in this group, since it is a DMZ network, and my WiFi access point is also located on it, so I have to keep it buttoned down for security.

How are you filtering between the Internal network and the DMZ network?   

very strange... a quick reboot of the DMZ servers and all is well...I dont know if it was an issue with my filtering or something on the server but thank you for your input....

Regards,
Jones 

When a server reboot mysteriously "fixes" non-communication issues, it is often because the machine had bad data in its ARP (Address Resolution Protocol) cache. The ARP cache holds the local IP address to MAC address lookup table. On a Windows server (or workstation), you can flush the ARP cache without rebooting by executing:

ARP -d *

in a DOS box. This deletes all the entries in the ARP table, forcing the machine to recreate it with correct entries, as required, via local broadcasts.
  

Velvet,

I have a question about your packet rules.

You are using:

DMZ__Network {DMZ-Services} Any Allow

Wouldn't this mean that the DMZ is allowed to go to the Internal network through those services?  I thought the DMZ was supposed to be completely separate from the internal network and the internal network unreachable from the DMZ.  Wouldn't a rule like: 

DMZ__Network {DMZ-Services} External_Interface_  Allow
Any {DMZ-Services} Server Allow

...be better suited?   

It is a quite limited access. Here are my relevant filter lines:

{ Local_LANs }         Any                  Any  Allow
DMZ_Network__  { DMZ-Services } Any Allow 
DMZ_Network__  Any  { Local_LANs }  Drop

My Local_LANs are several class "C" subnets inside of the Internal interface, plus the PPTP-Pool.

My DMZ-Services are these:

{ ping }
{ traceroute }
DNS
FTP
HTTP
HTTPS
IMAP
NTP
NTP-Async
POP3
PPTP
SMTP
SQUID
SSH
SYSLOG
TIME
WHOIS

I realize that I could shorten the list considerably, but I have my WiFi access point on the DMZ,
and I didn't want to limit myself to using a PPTP tunnel for all my access.

Only basic Internet services are available on my DMZ.
There is no netbios access to any Windows machines.
Since the DMZ is masquerading behind the External Interface,
only by cracking through my WiFi security would you even get access to this much.

I am open to suggestions, if you think my setup is too insecure.
      

It is a quite limited access. Here are my relevant filter lines:

{ Local_LANs }         Any                  Any  Allow
DMZ_Network__  { DMZ-Services } Any Allow 
DMZ_Network__  Any  { Local_LANs }  Drop

My Local_LANs are several class "C" subnets inside of the Internal interface, plus the PPTP-Pool.

My DMZ-Services are these:

{ ping }
{ traceroute }
DNS
FTP
HTTP
HTTPS
IMAP
NTP
NTP-Async
POP3
PPTP
SMTP
SQUID
SSH
SYSLOG
TIME
WHOIS

I realize that I could shorten the list considerably, but I have my WiFi access point on the DMZ,
and I didn't want to limit myself to using a PPTP tunnel for all my access.

Only basic Internet services are available on my DMZ.
There is no netbios access to any Windows machines.
Since the DMZ is masquerading behind the External Interface,
only by cracking through my WiFi security would you even get access to this much.

I am open to suggestions, if you think my setup is too insecure.
      

Do you really want the DMZ to access your local Lan? 
The way you have your packet filter rules set up the DMZ could access the local Lan using any of the { DMZ-Services }.
I would move the DMZ_Network__ Any { Local_LANs } Drop
 up to line #2 and move the DMZ_Network__ { DMZ-Services } Any Allow  to line number 3.  
I sure do not want my DMZ to be able to access my local Lan. At least that is my idea of what a DMZ is.    

[ QUOTE ]
Do you really want the DMZ to access your local Lan? 

[/ QUOTE ]
Yes, I do. But the access is limited.


[ QUOTE ]
The way you have your packet filter rules set up the DMZ could access the local Lan using any of the { DMZ-Services }.

[/ QUOTE ]
That is correct. The rules are designed that way on purpose.


[ QUOTE ]
I would move the DMZ_Network__ Any { Local_LANs } Drop
 up to line #2 and move the DMZ_Network__ { DMZ-Services } Any Allow  to line number 3.

[/ QUOTE ]
That would have the same effect as deleting line #2.


[ QUOTE ]
I sure do not want my DMZ to be able to access my local Lan. At least that is my idea of what a DMZ is. 

[/ QUOTE ]

The DMZ contains my mail server, which does POP3, IMAP4 and Webmail. MY FTP server and my Wi-Fi access point is also on the DMZ. There is nothing else there. Both the mail and FTP services are running on a NetWare 4.11 server, which uses NDS password security.

Assuming you could get access to my DMZ network, say by sitting in a car outside my house with a Wi-Fi enabled laptop, and cracking my Wi-Fi 802.11b network security, thus getting into my DMZ, what would you actually be able to do by having access to the services that I have left accessible from my DMZ?  

Velvet I agree sometimes you have to allow access between the DMZ and internal lan. I do the same for some services and have a very similar setup. I have limited access from the DMZ to the LAN as well and vice versa. Only difference in our setups would be I am running linux machines in my DMZ and windows machines in my Internal network. I do use some functions that will allow me to access my windows boxes from the DMZ. Some may see that as strange as it really should be Demilitarized Zone where no access is given to your internal LAN ( security) .. But I see this as little to no risk ....

I do have my Wireless AP in the DMZ as well it would be quite shocking to me if someone were to be able to crack it as I am also running fake access points that send out hundreds of fake access points. It is highly unlikely that someone would dive into that mess. There are to many easy targets out there that require little knowlege to crack and unexperinced admins that administrate them.. They are everywhere where I live and some choose to leave the default passwords intact...  http://www.blackalchemy.to/project/fakeap/

My thoughts...  

There is also another form of security in place on my setup that I neglected to discuss.

Both my Local network group and my DMZ are individually masqueraded off the External interface.

Have you ever tried to get a packet through two NATs that are butting their heads against each other?