Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 3116 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Need help with Screened Subnet using two Firewalls

Profile
Hello All,

  ( I have linked to a network diagram that may help you better understand my setup, I have also inserted it as an image at the bottom of this post)
                             Screened Subnet.jpg


I am attempting to setup a Screened Subnetwork in my lab using ASL 7.11 for both the Perimeter, and Internal Firewalls. 
I have several static IP's all of which are being listened for on the WAN port of my Perimeter Firewall.
I am then doing a one-to-one NAT conversion for each Static Ip and assigning it to an Internal IP.

So for Example 216.122.216.10 DNATS to 10.4.3.10
(And of course SNATS from 10.4.3.10 to 216.122.216.10)

The 10.4.3.0/24 network is located on a separate ethernet port on the Perimeter Firewall and that port is connected to a Cisco 2950 switch. (The Ip address assigned to that ethernet port is 10.4.3.1)

The Internal Firewall's WAN port in connected to the 10.4.3.0/24 network via the Same Cisco Switch (The Ip address assigned to that ethernet port is 10.4.3.2
the Internal Firewall is taking Ip addresses that are coming in on the 10.4.3.0/24 network and doing a one-to-one NAT conversion from the 10.4.2.0/24 network to the 192.168.23.0/24 network.

So for Example 10.4.3.10  DNATS to 192.168.23.10
(And of course SNATS from 192.168.23.10 to 10.4.3.10)


here are some more details on the network setup

Perimeter Firewall
eth0 (WAN)
IP:  216.122.216.2
Default Gateway: 216.122.216.1
Netmask: 255.255.255.0
Other Ip addresses on this interface 216.122.216.3 - .254

eth5 (Internal Network)
IP: 10.4.3.1
No Gateway
Netmask: 255.255.255.0



Internal Firewall
eth0 (Internal Network Out)
IP: 10.4.3.2
Default Gateway: 10.4.3.1
Netmask: 255.255.255.0


eth5 (Internal Network)
IP: 192.168.23.1
No Gateway
Netmask: 255.255.255.0


I can not get this to work, quite right and am hoping some one can shed some light on what I may be doing or not doing that would be keeping me from routing packets in and out. I will do some more testing and post information about how far I can see packets coming in and going out.  ( and yes the packet filters are set to allow in and out for my configuration ) that does not seem to be the issue.



Kind Regards,

Profile


This thread was automatically locked due to age.
Parents
  • 0

    So for Example 216.122.216.10 DNATS to 10.4.3.10
    (And of course SNATS from 10.4.3.10 to 216.122.216.10)

    ...

    So for Example 10.4.3.10  DNATS to 192.168.23.10
    (And of course SNATS from 192.168.23.10 to 10.4.3.10)
    Profile


    do you have dedicated snat for that direction? this should not be necessary as the iptables connection tracking will do that for you
  • 0 in reply to gnujuba
    Thanks for the Replys, and sorry I have not had a chance to respond. I have been on vacation.

    So let me see if I have this right.
          1. Remove all of the NAT rules from the Internal Firewall
          2. Create a Policy Route on the Perimeter Firewall With the Source Interface as ANY, Source Network as 192.168.23.0/24 and the Destination Network as 10.4.3.2 with the target Interface as the Internal Netowrk.
          3. Create a DNAT rule on the Perimeter Firewall with (Traffic Destination) as 
    216.122.216.10 (NAT mode) as DNAT, and (Destination) as 192.168.23.10
          4. Don't create a seperate SNAT rule for routing traffic out as this should be automatic.
          5. set packet filter rules to allow traffic in and out.

    Did I get it all or am I missing anything?

    Thanks for the help,

    Profile
Reply
  • 0 in reply to gnujuba
    Thanks for the Replys, and sorry I have not had a chance to respond. I have been on vacation.

    So let me see if I have this right.
          1. Remove all of the NAT rules from the Internal Firewall
          2. Create a Policy Route on the Perimeter Firewall With the Source Interface as ANY, Source Network as 192.168.23.0/24 and the Destination Network as 10.4.3.2 with the target Interface as the Internal Netowrk.
          3. Create a DNAT rule on the Perimeter Firewall with (Traffic Destination) as 
    216.122.216.10 (NAT mode) as DNAT, and (Destination) as 192.168.23.10
          4. Don't create a seperate SNAT rule for routing traffic out as this should be automatic.
          5. set packet filter rules to allow traffic in and out.

    Did I get it all or am I missing anything?

    Thanks for the help,

    Profile
Children
  • 0 in reply to Profile
    Ok, so today I was back in the lab and tried again to get the routing going. This is what I found so far which tells me I dont have something quite right.

    I set the Routing up just as I stated above, and When coming from a machine behind the internal firewall I could watch packets going all the way out to the internet, however a connection was never made.

    When I had a friend try to come in to my machine behind the Internal network, On the perimeter firewall, looking at the packet filter log I could see an allowed connection going to 192.168.23.20, But nothing ever showed up on the Internal Firewall. It looks like the NAT was working just fine, but the Route I set up was not working at all.

    I played around with the Routing a little but could not figure it out. Im quite new to working with routing, and welcome any advice or input any one could lend me on getting this working.

    Ive looked through Astaro's Manual and Help files, The knowledge base only covers how to set up a second gateway.

    Also when working with Policy routing Im a bit confused on what they are refer to as Source Network, and Destination Network. Im not sure if I had it right in my post above or if I am miss defining either of those two parameters
  • 0 in reply to Profile
    Instead of a policy route create a static route on the perimeter firewall.

    ex:
    Route Type: Gateway Route
    Network: 192.168.23.0/24
    Gateway: 10.4.3.2
  • 0 in reply to dilandau
    dilandau,
        Thank you for the post, that is exactley what I needed to get past my mental Block.

    I have the routing now working and everything is running smoothly.

    Profile