Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 2107 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

dmz packetfilter question

cko
hiho

if i use a dmz with private ips and i have a nat masquerading to external, how am i supposed to create a packet filter which lets only traffic to external and not internal. for example.. i create a rule which lets dmz hosts do dns queries to the internet. 

source: dmz, protocol: dns, destination: any

this will lets my dmz query dns also in the internal network! i should replace any with something which defines only external/internet but theres is not such an object? extern address, extern broadcast, extern network is all not what i need... so whats the solution here?


This thread was automatically locked due to age.
  • 0
    In this example to prevent the dmz network from accessing the internal network I would add a drop rule above the allow rule you already have.

    ex:

    source: dmz
    service: dns
    destination: internal
    action: drop
  • 0 in reply to dilandau
    yeah sure thats possible.. but id like to reference an external object directly. its not just about this situation.. its a general question how astaro does reference internet since i cannot find any object besides any. my apporach is not to use drop rules at all... a firewall drops everything i do not allow.. at least it should be like that :-)
  • 0 in reply to cko
    It does drop by default, but if you open a rule to allow DMZ to ANY, now you've overridden that.

    If you don't want ANY traffic initiated from the DMZ to get to INT, what I'd suggest is something like this:

    Rule #1: Src DMZ, Dest INT, Svc Any, Drop & Log
    Rule #x: Src DMZ, Dest ANY, Svc DNS, allow
    ...

    If you need to allow some traffic from the DMZ into the INT LAN, create rules for that ABOVE rule #1 above.

    Barry
  • 0 in reply to BarryG
    yeah.. .but i cannot accept that i have to use a drop rule when a firewall already drops everything.. why is there not object which references just the unprotected wan like internet or external?? i dont like the idea of using 2 rules when i can use just 1... :-/
  • 0 in reply to cko
    Because that object would simply be a combination of the other 2: 
    ANY and NOT LAN

    If you don't understand this, you'll need to read up on basic TCP networks.

    Most people who work in networking are happier having things visible, instead of hiding them.

    Barry
  • 0 in reply to BarryG
    of course i understood that.. but for example isa server has an object called external and i can use it to address any unprotected network - this makes a lot sense to me. im just missing such an object in astaro and since it does not have it, its a pain to configure complex dmz scenarios. imagine to always have to think about the deny rule when i let dmz traffic to internet... ? 

    whats so strange about wanting to have a rule which does let traffic from dmz to internet.. ? instead it opens a port to MY SECURED LAN??? and I HAVE TO CLOSE it MYSELF? sorry but this is not what i expect of a firewall design.

    adding a deny rule is just against my idea, its like using deny permissions on ntfs. the concept is to deny all by design and then to allow who and what can access. it would be better when i could create such an object myself in astaro but as far i understood its not possible :-(
  • 0 in reply to cko
    You should be able to achieve your goal by creating a new network definition for any address, bound to the appropriate external interface.
  • 0 in reply to Jack Daniel
    Here is a definition I created back when 7.100 released the interface binding.  I use this for controlling DMZ access as well as inbound HTTP webserver access.

    Name: Internet
    Type: Network
    Address: 0.0.0.0
    Interface: External
    Netmask:0.0.0.0
    Comment: My Internet Definition
  • 0 in reply to Cath
    very nice!! thats what i was looking for. thanks a lot!!