Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 2 subscribers
  • Views 478 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Will this work?

bobneumann
My Cisco 1720 router w/ a T1-csu/dsu has a /30 public ip address block assigned to it from our ISP:

WAN interface ip xxx.xxx.xxx.97
WAN interface mask 255.255.255.224 (27 network bits)
Host addresses: xxx.xxx.xxx.97 - xxx.xxx.xxx.126
Network address: xxx.xxx.xxx.96
Broadcast address: xxx.xxx.xxx.127

I'm currently doing NAT/firewalling/dhcp on this router, giving 10.x.x.x addresses to all the internal client and server machines. The server machines are given static mappings so they can be reached from the outside. The workstations are given an address by dhcp and browse the web over a single address using overload.

I want to improve our situation as follows:

1. DMZ: I currently have 3 or 4 application servers that my internal users use all the time, a couple database servers and a Notes/Domino server. They each have an internal (10.x.x) address so my internal users can hit them. These servers also have web services that are open to the outside world: 80,443,20,25,110, etc.
I'd like to put a separation between these exposed servers and the rest of my internal lan. But my internal users still need to be able to reach these services.

2. VPN: I'll soon be locating a redundant storage server off-site, which will use IP to keep itself up to date realtime. I also want to institute some formal work-from-home capabilities for my users, and as I understand it, the only sensible way to do these things is by way of a VPN..

3. IDS: I'm considering installing some form of Intrusion detection, and I want to make my configuration choices with this in mind.

4. Proxy server: I want my users to surf through a proxy so I can limit their exposure to spyware. Again, I want to make my configuration choices with this in mind.  

To accomplish all that, I think I want to put an astaro box between the Cisco and the clients: So I THINK that I want to forward the entire public address block thru the Cisco to the external interface of the astaro box.  Am I on the right track?  Can the external interface of the Astaro box handle an ip range instead of a single address? If so, where can I learn how to tell the Cisco box to forward everything through?

TIA,

Bob


This thread was automatically locked due to age.
Parents
  • 0
    [ QUOTE ]
    My Cisco 1720 router w/ a T1-csu/dsu has a /30 public ip address block assigned to it from our ISP:

    WAN interface ip xxx.xxx.xxx.97
    WAN interface mask 255.255.255.224 (27 network bits)
    Host addresses: xxx.xxx.xxx.97 - xxx.xxx.xxx.126
    Network address: xxx.xxx.xxx.96
    Broadcast address: xxx.xxx.xxx.127

    I'm currently doing NAT/firewalling/dhcp on this router, giving 10.x.x.x addresses to all the internal client and server machines. The server machines are given static mappings so they can be reached from the outside. The workstations are given an address by dhcp and browse the web over a single address using overload.

    I want to improve our situation as follows:

    1. DMZ: I currently have 3 or 4 application servers that my internal users use all the time, a couple database servers and a Notes/Domino server. They each have an internal (10.x.x) address so my internal users can hit them. These servers also have web services that are open to the outside world: 80,443,20,25,110, etc.
    I'd like to put a separation between these exposed servers and the rest of my internal lan. But my internal users still need to be able to reach these services.

    [/ QUOTE ]

    Bob,
    why don't you consider adding a third ethernet interface to your ASL box, separate all your servers to a DMZ zone using your current official IP block and ask your ISP for another IP pair only for the Cisco  ASL external.

    This way you will be able to expose the DMZ to the public network, secure your internal network NAT'ting it through the internal interface to the external, and the workstations will still have access to the DMZ servers for their daily routine work.

    Just an idea that works great for me.
    Regards
    Maurice
Reply
  • 0
    [ QUOTE ]
    My Cisco 1720 router w/ a T1-csu/dsu has a /30 public ip address block assigned to it from our ISP:

    WAN interface ip xxx.xxx.xxx.97
    WAN interface mask 255.255.255.224 (27 network bits)
    Host addresses: xxx.xxx.xxx.97 - xxx.xxx.xxx.126
    Network address: xxx.xxx.xxx.96
    Broadcast address: xxx.xxx.xxx.127

    I'm currently doing NAT/firewalling/dhcp on this router, giving 10.x.x.x addresses to all the internal client and server machines. The server machines are given static mappings so they can be reached from the outside. The workstations are given an address by dhcp and browse the web over a single address using overload.

    I want to improve our situation as follows:

    1. DMZ: I currently have 3 or 4 application servers that my internal users use all the time, a couple database servers and a Notes/Domino server. They each have an internal (10.x.x) address so my internal users can hit them. These servers also have web services that are open to the outside world: 80,443,20,25,110, etc.
    I'd like to put a separation between these exposed servers and the rest of my internal lan. But my internal users still need to be able to reach these services.

    [/ QUOTE ]

    Bob,
    why don't you consider adding a third ethernet interface to your ASL box, separate all your servers to a DMZ zone using your current official IP block and ask your ISP for another IP pair only for the Cisco  ASL external.

    This way you will be able to expose the DMZ to the public network, secure your internal network NAT'ting it through the internal interface to the external, and the workstations will still have access to the DMZ servers for their daily routine work.

    Just an idea that works great for me.
    Regards
    Maurice
Children
No Data