Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 2 subscribers
  • Views 1592 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Internal to DMZ

dkitch
Hello.

I have a few sites hosted on a DMZ (192.168.21.x) subnet that I'm trying to allow access from my Internal (192.168.1.x) subnet.

When I had the ISA system in place, I would access these from the inside using the external public DNS entry (1.2.3.4).  So -

Internal -> Out to the Internet -> In to the public IP on the Firewall -> Routed to the DMZ host.

The Astaro seems to be blocking this roundtrip.

Is the best way simply to have the ASG route the Internal to DMZ networks?

As a note - my site IS published via DNAT to the outside and is available via my EVDO test link at it's public addy (1.2.3.4)

Please advise...


This thread was automatically locked due to age.
Parents
  • 0
    Update -

    So it appears that the ASG creates a route from my Internal sub to my DMZ sub automatically.

    Is there a way to clamp down on this?  I'd rather not open up the DMZ to the Internal in this fashion....

    Please advise....
  • 0 in reply to dkitch
    First off, the DMZ is considered external to your internal network. As such, if there is a dnat allowing traffic from external any to internal then the dnat will allow traffic from the DMZ as well.

    To block all traffic from the DMZ you need to create an additional dnat rule above the regular external to internal dnat rule to "blackhole" the traffic. 

    For example, you have port 80 open to an internal web server. The DMZ is then also allowed to communicate to the internal on that port. To get around this then, create a dnat rule above the regular inbound rule like this: source DMZ, any, destination Internal, translate to Blackhole, Any

    The blackhole is a non existant host that you create. It is essentially the same as sending everything to NULL
Reply
  • 0 in reply to dkitch
    First off, the DMZ is considered external to your internal network. As such, if there is a dnat allowing traffic from external any to internal then the dnat will allow traffic from the DMZ as well.

    To block all traffic from the DMZ you need to create an additional dnat rule above the regular external to internal dnat rule to "blackhole" the traffic. 

    For example, you have port 80 open to an internal web server. The DMZ is then also allowed to communicate to the internal on that port. To get around this then, create a dnat rule above the regular inbound rule like this: source DMZ, any, destination Internal, translate to Blackhole, Any

    The blackhole is a non existant host that you create. It is essentially the same as sending everything to NULL
Children
No Data