DMZ Stupidity

For each of the public IPs you have, you'll need to create an alias on the external interface for each of them, Also, each of the Internal servers that is reachable specifically by an external IP should have a SNAT rule for it so that it replys using the same IP as was reached to access it externally to begin with.

[ QUOTE ]
I currently have 3 public servers in our system with public IP addresses of 12.3x.4x.101, 12.3x.4x.102, and 12.3x.4x.103 and I would like to setup ASL and move them to the DMZ. I would also like to use private addresses for them from the same range as we'll be using for our computers on the internal interface to resolve a problem we're having with an application running on one of the servers.

[/ QUOTE ]A DMZ network is by definition a different and separate network from the Internal network. If you want your servers on the same net as the workstations on your Internal network, then that is not the same as placing them on a DMZ network. An ASL configuration with a DMZ network uses a minimum of three Ethernet cards in the box, one each for Internal, External and DMZ. Each of these are connected to a separate IP subnet.

Whatever approach you use, you will have to set up masquerading rules that present the relevant services (ports) from these servers on your External (WAN) interface.

I suppose that one point is missing from the replies above: Welvet fog cleared very well the point but provided no punctual reply; the initial request is that each of the three servers is:
a- placed in the DMZ having a private address equivalent to a public one
b- the address for one (or each of the servers) should be of the internal LAN for a compatibility problem with an application running at LAN level.

Well, I suppose that if we define a subnet for the LAN, the same subnet cannot reside in the DMZ.We could split the subnet in smaller "chunks" but that should not be enough to work, I guess, or we can use an alternative method, described also in an Astaro guide (I guess for setting a server in the DMZ, accessible from the WAN and the LAN sides).

Fot the servers in the DMZ we must choose a different "private" subnet from the one defined in the LAN.  
Then we assign one (or  more) virtual address(es) to the LAN interface and redirect all traffic to the server(s) in the DMZ to each of the virtual interfaces. In such manner, the internal hosts, when required to access the server in the DMZ will in fact point to an "internal address" in the LAN, and a specific NAT rule will redirect the traffic to the specific address in the DMZ.

Rules and other definitions like in the guide mentioned before.
Comments are welcome, including ...I missed the point!

friscom

ASL allows you to masquerade ports any which way you please between its routed subnets. It is therefore possible to place a server on a DMZ network, and use masquerade rules to map specific ports via network address translation to both the External interface and the Internal interface. How you configure this is up to you. You can map the same ports to both interfaces, or do it differently for each.

Keep in mind that in order to maintain security, you should follow the rule of least privilege. In other words, don't map any port access to the servers other than what is absolutely required for the software to work.