Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 2637 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DMZ for ONE machine, without extra network card?

tentimes
Hi,

I wanted to be able to DMZ one machine, which is actually a SKY HD Box, on an internal LAN address of 192.168.2.x

I don't have any pci slots left for another network card and wanted to know if it is possible to set up 1 IP as DMZ inbound and outbound? If so, how could I do this please?

The reason I am doing this is that I cannot tell (after extensive research) what ports it will actually use. I have tried inspecting packet filter refusals, but cannot find any, even though the service shows as connected on the Sky HD box. Presumably it does a check/listen for the ports. It says service unavailable at the moment but is definitely connected ok to the network. It just needs ports enabled, and a NAT rule, but DMZ would be the easy solution. As it is a satelite box I don't think it can do much damage leaving it DMZ.


This thread was automatically locked due to age.
Parents
  • 0
    Hi, you have a few options.

    First, I would recommend running tcpdump on the Astaro console to look at the traffic from the Sky box, or simply put a temporary PacketFilter Rule, at the top, source: sky box, dest:any, allow, log

    Options, in order of complexity/paranoia:

    1. create a network definition for the box and allow all outbound traffic for that definition
    this should work fine but exposes your LAN to the Sky box, if it is compromised.

    2. set the IP and netmask on the sky box to a very small segment of your LAN. 
    this would reduce the chances of the Sky box talking to your other computers, if that's what you're worried about.
    e.g. 
    Astaro LAN interface: 192.168.2.1/24
    Sky box: 192.168.2.2/30 (use a static IP, not DHCP)
    and don't put anything on .3
    and allow .2 out

    3. get a VLAN switch and setup VLANs with a DMZ
    costs money+time

    Barry
Reply
  • 0
    Hi, you have a few options.

    First, I would recommend running tcpdump on the Astaro console to look at the traffic from the Sky box, or simply put a temporary PacketFilter Rule, at the top, source: sky box, dest:any, allow, log

    Options, in order of complexity/paranoia:

    1. create a network definition for the box and allow all outbound traffic for that definition
    this should work fine but exposes your LAN to the Sky box, if it is compromised.

    2. set the IP and netmask on the sky box to a very small segment of your LAN. 
    this would reduce the chances of the Sky box talking to your other computers, if that's what you're worried about.
    e.g. 
    Astaro LAN interface: 192.168.2.1/24
    Sky box: 192.168.2.2/30 (use a static IP, not DHCP)
    and don't put anything on .3
    and allow .2 out

    3. get a VLAN switch and setup VLANs with a DMZ
    costs money+time

    Barry
Children
No Data