Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 1634 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Problem with the DMZ

lejzer
Hi,

I'm having some trouble setting up a DMZ.

I have 3 NICS in astaro:

eth0 = internal (192.168.2.x private network)
eth1 = external (ISP)
eth2 = DMZ (10.0.4.x private network)

I want to let computers on the DMZ (eth2) to have internet access, but NO access whatsoever to the local LAN (eth0)

DHCP-server is active for DMZ and the computer connected gets an ipadress. But i can't reach the internet at all. I'm not sure if i made the right settings for the network.

What gateway should the DMZ-network have (if any?). The client itself must have a gateway, which? LAN gateway?

I've tried to masquerading the dmz to the external. In packetfilter rules i allowed http out, but still no go.

Anything knows what's wrong here?

If there's an easier way to create a separate private network that cannot access the eth0, please let me know.

Thanks in advance

/ Martin


This thread was automatically locked due to age.
  • 0
    It's working partly now.

    I forgot to add the DMZ-network to the DNS-proxy. Now the clients DNS-setting is pointing to the DMZ itself. Is this correct?

    Same goes for the GW that is pointing to the DMZ.

    I've made a rule to reject everything from dmz-network to internal-network. And a rule to allow http from dmz.

    The odd thing is that i can ping machines on the internal lan from the dmz. Shouldn't this be blocked when i added to rejecting rule?

    Anyone?

    Thank you
  • 0 in reply to lejzer
    You need to MASQ both eth0 and eth2 to eth1 (Internet)

    I assume you are using the DNS Proxy on ASL?  If so, point each net's DHCP DNS entry to the DNS Proxy address.
    So...
    192.168.2.x to 192.168.2.1 (If 2.1 is the ASL box)
    10.0.4.x to 10.0.4.1 (If 4.1 is the ASL box)

    Gateway for each net should be the same as the above.
    (ASL automatically creates the correct routes).

    By default, ASL denies all traffic, you should be safe, just create the rules you need to allow traffic to do what you want.

    Remember rules are evaluated in order.  So if you have a rule allowing traffic ABOVE a rule denying it, the rule below will be ignored as it's already "seen" the allow rule.

    PING may be an exception to the packet filter rules, but I would not have thought so.  Try turning off ICMP ping completely to test that theory. (In Packet Filter-ICMP).

    Suggest a #1 rule in your list to allow web traffic from DMZ to Internal (you seem to want web)
    A #2 rule then to drop all traffic from DMZ to Internal.  (So rule #1 will allow the traffic you want through, but rule #2 allows a "catchall" in case of problems in other rules lower down.

    Yes yes I know by default ASL denies, but this gives me more peace of mind.
  • 0 in reply to Simon Shaw
    Hi Simon,
    You need to MASQ both eth0 and eth2 to eth1 (Internet)
    Yes, both private networks (eth0,eth2) are masqed to the external interface

    I assume you are using the DNS Proxy on ASL?  If so, point each net's DHCP DNS entry to the DNS Proxy address.
    So...
    192.168.2.x to 192.168.2.1 (If 2.1 is the ASL box)
    10.0.4.x to 10.0.4.1 (If 4.1 is the ASL box)

    Gateway for each net should be the same as the above.
    (ASL automatically creates the correct routes).
    Yes, i'm using ASL builtin DNS-proxy. DMZ-network is 10.0.4.1. Clients in DMZ are pointing the DNS and GW-setting to 10.0.4.1. Correct?


    PING may be an exception to the packet filter rules, but I would not have thought so.  Try turning off ICMP ping completely to test that theory. (In Packet Filter-ICMP).
    Problem solved! As soon as i disabled "Firewall forwards traceroute" i couldn't ping the internal from DMZ anymore. Good!

    Suggest a #1 rule in your list to allow web traffic from DMZ to Internal (you seem to want web)
    A #2 rule then to drop all traffic from DMZ to Internal.  (So rule #1 will allow the traffic you want through, but rule #2 allows a "catchall" in case of problems in other rules lower down.

    Yes yes I know by default ASL denies, but this gives me more peace of mind.
    My first rule looks like this:

    From                 Service             To         Action
    DMZ Network      HTTP               Any        Allow

    This must be "any", right? It didn't work otherwise.

    Second rule:

    DMZ Network      Any                 Any        Reject

    This is it. The LAN should be protected from the DMZ with those rules? Anything else i need to check?

    Thanks for your help!

    / Martin