Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 643 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DMZ Stupidity

ellis
I'm having a problem understanding the DMZ concept. Perhaps someone could help me.

I currently have 3 public  servers in our system  with public IP addresses of 12.3x.4x.101, 12.3x.4x.102, and 12.3x.4x.103 and I would like to setup ASL and move them to the DMZ. I would also like to use private addresses for them from the same range as we'll be using for our computers on the internal interface to resolve a problem we're having with an application running on one of the servers.

What I'm getting confused about is how traffic coming from the internet is directed to each particular server once it's given a private IP. When I create and configure the private IP address of each server what addresses do I give out to the public to reach these servers? 

So, I configure the private IP of our database server to 192.168.0.101 and call it "database" and choose "host", create a DNAT rule for the server under NAT/masquerading, and create a packet filter rule and turn the rule on. Where do I set the public address for users on the internet to browse to that ASL directs to 192.168.0.100 and which allows me to get requests directed to the proper server?

Thanks,
Ellis


This thread was automatically locked due to age.
Parents
  • 0
    I suppose that one point is missing from the replies above: Welvet fog cleared very well the point but provided no punctual reply; the initial request is that each of the three servers is:
    a- placed in the DMZ having a private address equivalent to a public one
    b- the address for one (or each of the servers) should be of the internal LAN for a compatibility problem with an application running at LAN level.

    Well, I suppose that if we define a subnet for the LAN, the same subnet cannot reside in the DMZ.We could split the subnet in smaller "chunks" but that should not be enough to work, I guess, or we can use an alternative method, described also in an Astaro guide (I guess for setting a server in the DMZ, accessible from the WAN and the LAN sides).

    Fot the servers in the DMZ we must choose a different "private" subnet from the one defined in the LAN.  
    Then we assign one (or  more) virtual address(es) to the LAN interface and redirect all traffic to the server(s) in the DMZ to each of the virtual interfaces. In such manner, the internal hosts, when required to access the server in the DMZ will in fact point to an "internal address" in the LAN, and a specific NAT rule will redirect the traffic to the specific address in the DMZ.

    Rules and other definitions like in the guide mentioned before.
    Comments are welcome, including ...I missed the point!

    friscom
  • 0 in reply to friscom
    ASL allows you to masquerade ports any which way you please between its routed subnets. It is therefore possible to place a server on a DMZ network, and use masquerade rules to map specific ports via network address translation to both the External interface and the Internal interface. How you configure this is up to you. You can map the same ports to both interfaces, or do it differently for each.

    Keep in mind that in order to maintain security, you should follow the rule of least privilege. In other words, don't map any port access to the servers other than what is absolutely required for the software to work.
Reply
  • 0 in reply to friscom
    ASL allows you to masquerade ports any which way you please between its routed subnets. It is therefore possible to place a server on a DMZ network, and use masquerade rules to map specific ports via network address translation to both the External interface and the Internal interface. How you configure this is up to you. You can map the same ports to both interfaces, or do it differently for each.

    Keep in mind that in order to maintain security, you should follow the rule of least privilege. In other words, don't map any port access to the servers other than what is absolutely required for the software to work.
Children
No Data