Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 3904 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Multiple Networks under On External Interface ????

kaspersimmz
Is there anyway I can have (3) seorate networks MASQ'ed to (1) External Interface??

I would like 

Internal1-->192.168.1.1-254 DHCP 24 port switch

Internal2-->192.168.2.1-254 DHCP 12 port hub

Internal3-->192.168.3.1-254 Static WiFi DMZ

I'm sure this is possible but I just cant figure out the whole MASQ thing

Oh yeah MOST Important !!!! All networks must be COMPELTELY seperate and unaware of the others ( No traffic can pass )

Can anyone point me in the right directiion???


This thread was automatically locked due to age.
Parents
  • 0
    You can masquerade as many different local networks as you have available in behind a single external interface. Just create a separate masquerading rule for each.

    Isolation between the several networks is maintained. You don't have to do anything special. No traffic can pass between between separate Network Address Translators that face against each other.
  • 0 in reply to VelvetFog
    VelvetFog, 
    one more remark. When you are creating rule, to acces outside world, then it is mostlly specified as:
    Internal NW - Any - alow

    And if you have in that case several "internal" networks, then this rule could couse also routing to other internal networks. This is at least how I understand routing. And so I mentioned in above post that you should explicitly deny trafic between those networks.

    BR, Matjaz
  • 0 in reply to Matjaz
    I thought that was all I had to do for MASQ.

    Ok now for part two.

    My understanding is that in order for a packet to leave the local network a gateway must be set.

    lets say I have 192.168.1.0/24 if I'm trying to get to yahoo.com which is NOT local then the packet must be forwarded to the gateway where it can be further processed. 

    However when I try to set the gateway of any one of my Internal Networks I get an error message saying I cannot have more than one default gateway.

    I tried setting the gateway to everything I could think of ....

    DHCP
    my External Interface IP
    my External Interface Gateway IP
    192.168.1.1

    Everytime I get the same error massage.

    Any ideas what I'm doing wrong.
  • 0 in reply to kaspersimmz
    Your external interface is the only interface which needs a default gateway assigned.

    Your packet filters should look something like this.

    Src: Inertnal_net_1 Dest: Internal_net_2 Svc: Any Action: Drop
    Src: Inertnal_net_1 Dest: Internal_net_3 Svc: Any Action: Drop
    Src: Inertnal_net_1 Dest: Any Svc: Any Action: Allow
    Src: Inertnal_net_2 Dest: Internal_net_1 Svc: Any Action: Drop
    Src: Inertnal_net_2 Dest: Internal_net_3 Svc: Any Action: Drop
    Src: Inertnal_net_2 Dest: Any Svc: Any Action: Allow
    Src: Inertnal_net_3 Dest: Internal_net_1 Svc: Any Action: Drop
    Src: Inertnal_net_3 Dest: Internal_net_2 Svc: Any Action: Drop
    Src: Inertnal_net_3 Dest: Any Svc: Any Action: Allow
  • 0 in reply to kaspersimmz
    Hi,
    only one default gateway for your Firewall thats right.
    This default Gateway is given you normaly by your provider or you have your own access-router to the Internet than this is your default gateway.
    On your PC you give the corresponding Network-Interface as the default gateway for this PC.

    The Problem with the traffic-routing between your internal-networks :

    any   =>  any  => 192.168.1.0/24  => drop
    any  =>  any  =>  192.168.2.0/24  =>  drop
    any  =>  any  =>  192.168.3.0/24  =>  drop
    192.168.1.0/24  =>  any  =>  any  =>  allow
    192.168.2.0/24  =>  any  =>  any  =>  allow
    192.168.3.0/24  =>  any  =>  any  =>  allow

    so noone including your other internal-networks can communicate into your internal net but anyone in your internal networks can communicate with anyone in the Internet.

    firebear

    ps: i had the forum opend before going to eating so my writing seems the same as JIM.M wrote.
  • 0 in reply to Matjaz
    [ QUOTE ]
    VelvetFog,
    one more remark. When you are creating rule, to acces outside world, then it is mostlly specified as:
    Internal NW - Any - alow

    [/ QUOTE ]Rules are processed in the order they appear in the list. If you have a prior rule:
    DMZ_network Any Internal_network Drop
    then access from the DMZ network to the Internal network is removed. Having access from the trusted  Internal network to the untrusted DMZ network is generally not of any great concern. You do, however, want to restrict access in the opposite direction.

    [ QUOTE ]
    And if you have in that case several "internal" networks, then this rule could couse also routing to other internal networks. This is at least how I understand routing. And so I mentioned in above post that you should explicitly deny trafic between those networks.

    [/ QUOTE ]Exactly. I use 10 packet filter rules on my ASL box. Five of them are drop rules to keep broadcasts and netbios traffic out of the log files. The other five rules are  three Allow rules and two Drop rules to manage traffic between my three separate networks (Internal, DMZ and External). I use group definitions in my packet filter rules, in order to keep the number of individual rules down to a minimum.
Reply
  • 0 in reply to Matjaz
    [ QUOTE ]
    VelvetFog,
    one more remark. When you are creating rule, to acces outside world, then it is mostlly specified as:
    Internal NW - Any - alow

    [/ QUOTE ]Rules are processed in the order they appear in the list. If you have a prior rule:
    DMZ_network Any Internal_network Drop
    then access from the DMZ network to the Internal network is removed. Having access from the trusted  Internal network to the untrusted DMZ network is generally not of any great concern. You do, however, want to restrict access in the opposite direction.

    [ QUOTE ]
    And if you have in that case several "internal" networks, then this rule could couse also routing to other internal networks. This is at least how I understand routing. And so I mentioned in above post that you should explicitly deny trafic between those networks.

    [/ QUOTE ]Exactly. I use 10 packet filter rules on my ASL box. Five of them are drop rules to keep broadcasts and netbios traffic out of the log files. The other five rules are  three Allow rules and two Drop rules to manage traffic between my three separate networks (Internal, DMZ and External). I use group definitions in my packet filter rules, in order to keep the number of individual rules down to a minimum.
Children
  • 0 in reply to VelvetFog
    Thanks for everyones input I finally got everything figured out. I spaced out and forgot to input the External Address as the Gateway in the DHCP configuration.
  • 0 in reply to kaspersimmz
    [ QUOTE ]
    Thanks for everyones input I finally got everything figured out. I spaced out and forgot to input the External Address as the Gateway in the DHCP configuration. 

    [/ QUOTE ]Hmmmm. The External interface address would never be the default gateway address given out by a DHCP server on an Internal network. It is the ASL Internal interface address that is the proper gateway address for the machines on the Internal network.