Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 4089 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Public internet access

edwardl.a.u
Hi All,

Product: Security Gateway v7

I would like to set up a wireless access point to allow public access to the internet. I do not have another eth port to setup a DMZ. If I implement the following, would it be sufficient or are there extra steps that should be carried out?

Internal Network: 172.17.0.0/16
External Router for public use: 192.168.100.1 
External Router does its own DHCP.

Additional Packet Filter Rules:
ALLOW External Router ->  (HTTP, DNS etc.) -> Internet
DENY   External Router -> Any-> Internal Network 

Many Thanks in advance,
Edd


This thread was automatically locked due to age.
  • 0
    You plan to put the wireless router outside the firewall, right?

    If this is simply another subnet on your LAN, I don't think this will secure the LAN from the WiFi network.

    One problem with that is that you'd be doing Double NAT, which will make it more difficult if you need to allow external traffic into your network.

    Your PF rules should specify the NETWORK not the IP; e.g. 192.168.100.0/24

    If you don't have another NIC, perhaps could use a VLAN switch, or use one of the Astaro Wireless Access Points.

    Barry
  • 0
    Barry's right that they still could gain access because they don't have to transit the Astaro to reach the rest of "Internal (Network)" where the router is.  How can that be avoided?  I haven't tried the following before, but it seems like it should work:

    • WAN IP of router = 172.17.1.252 with netmask = 255.255.255.254
    • Default Gateway for wireless router = 172.17.1.253 = IP of Astaro's "Internal (Address)"

    That is to say, the WAN  interface of the wireless router is configured in such a way that all traffic goes to the default gateway because it's on a subnet that consists of only two IPs - its own and that of the Astaro.

    Cheers - Bob
  • 0
    Thanks Barry and Bob. 

    Barry, I'll specify the network as you suggested.

    Bob, I will try out your suggestion of specifying the Gateway on the wireless router as the internal IP of Astaro. 

    Cheers,
    Edd
  • 0
    I have this setup using some Cisco 1130 Access points with 2 SSID's one for internal and one for guest. The access point has VLAN capabilities so guests connect to the guest network that broadcasts the SSID and our employees connect to a secure SSID with passwords. 

    The AP (Cisco) then segments the traffic to VLANS (passed through a VLAN capable switch) and I use 2 ports on the astaro....1 just for the guest connection so it has no access to the internal stuff without a VPN, and the other VLAN just plugs into our main network that then flows through the Astaro with the rest of the network. 

    I can the filter all the junk people can do on the guest network so they can't browse bad stuff or our emplyees can't browse on their iphones or ipods or do torrents from here and still offer them internet, mail and common VPN ports.

    Of course I want to beef this up when money permits. We have 3 of our Cisco AP's set up this way to allow guest connections accross a few acres here. Of course, all of the switches imbetween have to have vlan.