Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 2904 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Help setting up a DMZ

hondaman
Its been a many years since I've installed from scratch, Astaro.  I have since forgotten how to setup the basics.

I just installed astaro 7.  My external and internal is all working fine.  I told astaro to use eth3 as my dmz device.  This is where I have run out of proverbial gas.

Can someone please tell me what rules to add so that internal can access dmz, and nothing from dmz can access internal?

Thanks!


This thread was automatically locked due to age.
Parents
  • 0
    You have to create the following to the packet filtering rules:
    Internal(network) -->  --> DMZ (Network)

    Since Astaro is a stateful firewall you won't need to add any rules for returning traffic.

    You may also need to add the appropriate exceptions to the IPS.
  • 0 in reply to lkar
    create a new network different from lan on that dmz nic. then you block all traffic from the dmz to lan. create nat and rules to allow traffic from the internet to your box on the dmz. if needed create rules to allow outbound traffic from the dmz to wan, since you already block all traffic to lan you can create rules with destination any. bear in mind that the order of the rules are important.

    in my own setup i have blocked all traffic from dmz to any and only allow specific traffic from dmz to wan. i have the same kind of rules on the lan.

    always keep in mind that if some one is compromising your box on the dmz what can they do or what will they likely do? most of the times they want to 'call' back home. by only allow specific traffic you block that. if you have an isp with a smart host you can even restrict your smtp outbound traffic to only that smart host
  • 0 in reply to bitonw
    Is there a walk-through guide for creating a basic DMZ in ASG 7? (like the one they had for ASG 6.***)?

    A good read anywhere?
  • 0 in reply to Dakrisht
    The concepts are still the same.

    Barry
  • 0 in reply to bitonw
    create a new network different from lan on that dmz nic. then you block all traffic from the dmz to lan. create nat and rules to allow traffic from the internet to your box on the dmz. if needed create rules to allow outbound traffic from the dmz to wan, since you already block all traffic to lan you can create rules with destination any. bear in mind that the order of the rules are important.

    in my own setup i have blocked all traffic from dmz to any and only allow specific traffic from dmz to wan. i have the same kind of rules on the lan.

    always keep in mind that if some one is compromising your box on the dmz what can they do or what will they likely do? most of the times they want to 'call' back home. by only allow specific traffic you block that. if you have an isp with a smart host you can even restrict your smtp outbound traffic to only that smart host



    I'm a first time user and believe I have these rules setup similar to what's described here.  When I try and browse to an "internal" server from the "dmz" by using the servers DNS name, Astaro appears to block the traffic.  If I browse using the internal servers IP address, Astaro lets it though.  Anyone have any ideas on how to stop that?? 

    I don't want any traffic of any kind going from DMZ to Internal.  I have a packet filter setup to drop any from DMZ destined for Internal (with logging turned on) but it doesn't seem to stop everything.

    Thanks
  • 0 in reply to Sokratz
    Sokratz, it doesn't sound like you have a DMZ.  If you can get to your internal network by using the IP addresses but not the DNS name, then that just means you can't see the DNS from your "DMZ" network.  Can you tell us what exact version of Astaro and what you have in your "DMZ" and in your "Internal" networks?

    Cheers - Bob
  • 0 in reply to BAlfson
    Here's some more info....

    ASG v7.3xx (05 I think).
    3 NIC's (1 WAN, 1 Internal, 1 DMZ) Internal and DMZ are different subnets.

    Right now the only thing in the DMZ is a Trixbox IPPhone switch.  I put a laptop on that subnet just to test it out.

    My web server is on the Internal subnet (at least for now).

    From a PC on the Internal network I can browse both the WAN (Internet) and the DMZ (the trixbox server).

    From the laptop on the DMZ subnet I can browse the WAN (Internet) and can browse the Internal web server as long as I use the IP address, not the FQDN of the server.  I can also ping the IP address of any machine/device in the internal network.  

    The DMZ subnet is using Astaro as a DNS forwarder.  The Internal subnet has it's own DNS servers.  I do have the Web server setup as a host in Astaro in order to forward traffic to it.

    Sokratz
  • 0 in reply to Sokratz
    Do you have a packet filter rule allowing DNS traffic from the DMZ to the Internal Network?
Reply Children
No Data