Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 1536 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Build DMZ without using DNAT

Linkan
Hi!

I would like to have a DMZ with public ip´s but it should be behind Astaro FW so i can filter traffic without using DNAT. I´m using Astaro in my vmware esx4 environment and i have a spare nic that i can dedicate for dmz. I have a public network /28 that i would like to use in best manner. All good tips are welcome!

Thanks,

Linkan


This thread was automatically locked due to age.
  • 0
    I found out a need a Link Network from my ISP to be able to solve it the way i want. I think it means a get a own default gw and isp is pointing out that my addictional adresses is behind my assigned gw.

    The alternative solution is assigning my other public adresses as additional adresses and then use NAT but i dont think it is as smooth as having your own link network

    //Linkan
  • 0 in reply to Linkan
    I found out a need a Link Network from my ISP to be able to solve it the way i want. I think it means a get a own default gw and isp is pointing out that my addictional adresses is behind my assigned gw.

    That's the common way of achieving what you want. And I would recommend to use that instead of NATs... I know from experience how nasty it is to maintain those. I have a /24 public IP-net and administering the NATs is a pain in the... ;-)
    Unfortunately I can't change it yet. But I requested a tranfer-net (thats how my ISP calls it) already and it was no problem for them.
  • 0 in reply to Krycek
    Thanks for your reply! Do you know if it is possible/good to use a portspan (dynamic ports) for dnat? I have a server which my clients need to access over a dynamic port span...

    //Linkan
  • 0
    I'm not sure if I understood correctly what you wanted but as far as I understand astaro doesn't support that (yet). You can only translate either one port, a group/range of ports, or all ports.
    If you use a group/range of ports or all ports and don't enter a destination port they will remain unchanged and just the IP will be translated, using the port that was initially used.
  • 0 in reply to Krycek
    Ok, thanks for your help!