Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 3712 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

routing (firewall between router and switch)

bibo
hi all,

our router is working as arp-proxy and we don't know the ip of the external interface.
as far as i know the ASS can't work as a bridge. 
so we decided to put the ASS between the router and the switch.

our network is a class c net, and we don't want to spend two of our IPs for the internal router interface and the external ASS interface. should work with private adresses, too.

because everything has to work in the moment the firewall gets online, i'm asking myself how the hell i have to configure the routing tables...

the firewall internal interface gets the gateway-adress (ex-internal interface router). the firewall external interface gets 192-adress, as well the internal interface of the router.
then:
default route to internal router interface?
on router static route to point to internal ip-network?

would be great if you could help me.

greeting from berlin
bibo


    


This thread was automatically locked due to age.
Parents
  • 0
    If I understand you correctly, the router is to sit outside the external NIC.

    If you set the router as the external NIC's gateway, and have a masquerade rule and packetfilter rules, and the internal machines set their gateway to Astaro, then the routing should all work.
      
  • 0 in reply to SecApp
    ... should be any need for a masq rule, think he means to use fully qualified ip-addresses on the inside     

    SecApp = addict ...hehe... you need rehab  
  • 0 in reply to AJo
    hi SecApp and AJo, 
    yes, we're using fully qualified ip-addresses on the inside.
    and besides, the 'he' is a 'she' [;)]
     [ QUOTE ]
     If you set the router as the external NIC's gateway, and have a masquerade rule and packetfilter rules, and the internal machines set their gateway to Astaro, then the routing should all work.
     

    [/ QUOTE ] 
    how do pakets from outside can find my internal network then?
    isn't there a route missing on the router, something like
    193.*.*.0 has to be delivered through the firewall?

    i found an interesting thread dealing with my problem 
    transparent firewall 
    but especially the point to whom the static route on the router has to point to i didn't finally got.

    beside all that, sorry for my bad english.
    @VelvetFrog: i didn't found anything interesting in the thread you mentioned, sorry, but that was no help.

    greeting from berlin
    bibo

      
  • 0 in reply to bibo
    When I understand your issue right. The access router must have a route to the astaro. To understand routing easier it´s better to have a drawing from the network. Then you can follow the packets way and see which way they take. 
    Balou    
  • 0 in reply to bibo
    "how do pakets from outside can find my internal network then?"

    One of two ways: if you're using, say, an HTTP proxy, the proxy knows about both IP address spaces, and transfers the packets back and forth between the private network (192...) and the router's public one. If you're not using a proxy and have a masquerade and filter rules set up, the firewall translates the packets' addresses as they pass through the firewall. If your rule is Internal HTTP Any, it will only allow sessions to be started from behind the firewall.

    If you were running a web server behind the firewall, you would need a DNAT rule for the firewall to know how to map external IPs to internal ones (or a "reverse HTTP proxy", which I heard is in version 5...)
      
  • 0 in reply to bibo
    ... pardon my ignorance  [:$]

    If I understand you right, your aim is to add a routing net/transport net between the router and the ASL using a private network. And the question is what you need to do to make it work on the spot.

    I would say:

    1. Since you probobly only will have one way to the internal network, a static route in the router would do. Pointing to the ASL external interface address via router internal interface.

    2. Default GW in ASL pointing to router internal interface address.

    3. Set up the filter rules in the ASL.
    Rules saying:
    Internal_Network any any allow
    any any Internal_Network allow

    Would allow all traffic in/out to the internal network and a start to see if the routing works.

    4. Lock down the firewall and customize the rules and configure any proxy you wish to use.  
Reply
  • 0 in reply to bibo
    ... pardon my ignorance  [:$]

    If I understand you right, your aim is to add a routing net/transport net between the router and the ASL using a private network. And the question is what you need to do to make it work on the spot.

    I would say:

    1. Since you probobly only will have one way to the internal network, a static route in the router would do. Pointing to the ASL external interface address via router internal interface.

    2. Default GW in ASL pointing to router internal interface address.

    3. Set up the filter rules in the ASL.
    Rules saying:
    Internal_Network any any allow
    any any Internal_Network allow

    Would allow all traffic in/out to the internal network and a start to see if the routing works.

    4. Lock down the firewall and customize the rules and configure any proxy you wish to use.  
Children