Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 2 subscribers
  • Views 3125 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DMZ, LAN, WAN Zones: How to Bridge?

elektrip
Hello

I'm asking a rather noob question I guess.

I have no experience in setting up a firewall in transparent/bridge mode, was always using routing/NAT, although knowing Astaro since V3.

Anyway, for our office I bought an Astaro ASG220 appliance, which task is to replace 2 openBSD firewalls that where configured as bridges. 
We have a full class C public IP range with no subnets, all across from the servers in the DMZ to the clients on the LAN.

Until recently, I just didn't get it that our preliminary setup only worked because there where *2* packetfilters involved, which regulated traffic between WANDMZ (1) and DMZLAN (2) in a "sandwich" configuration. So there is no subnetting required or NATing but the 2 physical separated filters separated our 3 "zone switches" (WAN/DMZ/LAN).

So my concern is this: Can I use _one_ ASG220 box (it has 8 interfaces), configure it somehow to work transparently as a bridge, and STILL have 3 different, separated zones?

When I testrunned the new ASL config I expected to work I realized that the NIC ports actually worked like a switch so it didn't matter on which port DMZ servers or LAN clients where connected to (OK me stupid knows now). I figured out when I wasn't able to setup a rule for the Wireless Access Points to not access the internal network, but Internet only...they just had access to any.

My requirements are to not change IPs in our office, to have the firewall transparent, and not to subnet anything, or basically just leave it how it is. Is that possible? Do I have to buy another ASG box?

Subnetting or even NAT is a no go I heard my boss saying today. The solely reason why I'm in train to kick the 2 openBSD firewall boxes was because I can't handle them, I have no clue with Unix/Linux and it's a pain to edit rules with VI editor...so since I'm the new firewall admin my boss said yes to buy a more advanced and easy to manage box.

Thanks in advance for any detailed help. I'm not sure if I miss the big picture or if it is just a little tweak I have to be hooked up.

Marco


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to BarryG
    So if I should be able to do it, then HOW?

    Is there a way with static interface routing? I dunno exactly what it is but I assume you make for any given host behind the firewall a static IP mapping on the interface. Like this is a tool to prevent packets from being routed or bridged to interfaces you don't want them to go and so there is some sort of logical or physical separation between the interfaces so if I do bridge all interfaces and have only 1 class c network without subnetting, i'd be able to have rules as if there where 3 networks, like wan, lan, dmz...but all in the same ip range.

    Anybody?
    Your help is very much appreciated.

    Marco