Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 3948 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Separate subnets / DMZ Separation

seatacsupport
Can anyone tell me how to truly separate subnets on a firewall that has 4 NICs? Example: I have 1 external NIC, 1 interal, and 2 DMZ's. If I set my packet filter rule on "any traffic originating on the respective DMZ, allow outbound" then each of the DMZ can route to each other as well as the interal network. 

Currently, I am using version 8. In the past with version 6 and version 7 I would setup a rule at the top of the Packet Filter rule set that simply stated all traffic from DMZ/s destination ( to each other or) interal network drop. For some reason, this does not seem to be working in version 8. 

Any help is greatly appreciated 
[:D]


This thread was automatically locked due to age.
  • 0
    Please post a screenshot of your packetfilter rules.
    Also, make sure they are sorted by ID #.

    Barry
  • 0
    Each of the groups you see there are simply defined all networks (subnets) except the one I am defining. It was a lo easier then putting 3 or 4 entries for each subnet.

    Thanks

    Seatac
  • 0
    It looks like you could get rid of the related drop rule #3 simply by replacing 'Any' with 'Internet' in rule #8.  I suspect that your other subnets have the same issue.

    Cheers - Bob
  • 0
    Bob

    In all of my years managing ASTARO I have never used that "Internet" network definition. How does it work? Does it focus all traffic to the external NIC and not allow the traffic to go anywhere else?(internal to the other subnets) Also, does it limit what ports are allowed out bound? The 01_General (#8) rule is set with abount a dozen ports allowed outbound, everything else is blocked.

    Once again, thank you for your assistance 

    Seatac
  • 0 in reply to seatacsupport
    I'm seeing the same thing with my system.  See the image for my rules, I know they are overkill.  I can still ping from Internal to Guest and vice versa same for Wireless to Guest and vice versa. [:S]

    The rules match by priority/position so there should be no interference from any other rules, right?

    Paul
  • 0
    Yes, I am able to ping the other internal subnets as well with my configuration. I did try mapping a drive from one Microsoft box to the other across subnets and it did block it using my configuration. So, partially, separated? 

    Is there a "best practice" or "ASTARO recommended" doc out there that shows how to achieve true subnet separation that anyone knows about?[:S]
  • 0 in reply to seatacsupport
    I can open an HTTP server across my interfaces [:O]
  • 0 in reply to PaulHolt
    What version of 8 are you using? 8.103 or less?  8.200 soft release?
  • 0
    Ping can be allowed/disabled in Packet Filter -> ICMP. Also, http traffic will be allowed if you have the http proxy enabled, as both of these actions will happen before the drop rules you have in the Packet Filter. 

    If you want to drop all traffic you will need to disable ping on astaro and skip the networks from the http proxy.
  • 0
    You know how many of the services in Astaro have a check box for Automatic Firewall (Packet Filter) Rules?  The Web Proxy has these as well.  Any of these type of rules are hidden (don't show up in the WebAdmin GUI) and take precedence over any rules in the GUI.  By allowing a network in the Web Proxy, the system creates a hidden rule to allow http/https traffic for that network.