Public IP behind ASL

tha would interesting me, too.

silly question i know but have you guys looked at the network section of the ASL manual?    

 

erm..... lets see...

1. you'll ideally want a subnet allocated for the DMZ, so get it routed at the firewalls external interface
2. add an interface with an address in the DMZ so  the firewall has a "leg" in the dmz.
3. setup your filter rules to allow traffic in and out of the dmz, and to and from the private range.
4. setup masq to allow your internal rfc1918 range out through the external interface
5. optionally setup a masq entry for internal traffic going to the dmz, depending on if you want to see rfc1918 addresses on the dmz.....

I think thats about it.... have I missed anything?

I should give more background.

I already have a private LAN and a DMZ with astaro. LAN has 192.168.1.X and the DMZ is 192.168.250.X. I have 5 puplic (non DHCP) addresses provided to my by ISP. I ahve all 5 addresses bound to the externalNIC on ASL.

I want to keep one public address on ASL for NAT/MASQ of private lan, and I would like to move the other 4 addresses to servers in DMZ and give them public addresses but still have them protected by astaro.

How have you think to have public ip behind fw?

I requested a public IP from my ISP for my external interface.

Then created DMZ on ASL by adding a NIC, assigning it one of my private IP's (203.11.69.1)  Attach that to a switch, attached public IP boxes to switch, done [:)]

Next add packet filter rules.  You will have to let the ISP know that you need to route to your public DMZ via the IP they assign you.

Hello Chad,
i do it with destination nat rules for example
Mail2_nat   Any -> venus_extern / Any   None   venus 
Mail2_nat2   venus -> Any / Any   venus_extern   None 
and this works fine. 

Regards Balou

To route your additional addresses, you need to define a seperate subnet with an address mask restricted to just the selected address block.

Every time you subnet, you loose three addresses, since the lowest address in the block (even number) becomes the net number, the highest address (odd number) becomes the broadcast address, and one address (typically the second lowest)  is  used for the router (the default gateway on that subnet). Since netmasks represents an additional power of two per bit, subnets have to be 4, 8, 16, 32, etc.  IP addresses in size. Subnets smaller than a block of 4 IP addresses can not be implemented, due to the 3 address overhead.

With a netmask of 255.255.255.252 you will get a subnet of four IP addresses, of which three will be consumed by the overhead of having a net number, a broadcast address, and a router address. That leaves you with just one IP address for use by a server.

So the short answer is, NO, it can't be done. Yor best course of action is to define all five addresses on the External interface,  or, alternatly, installing multiple NICs for External use, and then creating individual NAT rules into your DMZ from the various external IP addresses.

Another alternative is to install a hub or switch between your broadband modem and the ASL box, and then connecting your public servers to it, effectively moving them out from behind the ASL box. Then they can each use their own public IP address.

The likely reason why you have a block of 5 usable IP addresses, is that your ISP subnetted you down to a block of 8 IP addresses, using a 29-bit netmask of 255.255.255.248, leaving you with 3-bits for your address block. Out of the 8 IP addresses in the block, 3 have been consumed by the standard overhead, leaving you with the remaining 5.

Assuming your ISP have provided you with a public address range and a routing net and if I get you right...

ASL 2 NIC layout
 Code:

---

  
ISP ----- routing net----- ASL ------- public / private addresses 
Code:


1. ASL External NIC - routing net address/mask
2. ASL Internal NIC - public net address/mask
3. Add a static rule to route your private net adresses via internal NIC
4. Add a MASQ rule for the private net via external NIC