Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 2 subscribers
  • Views 20363 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Firewall/Routing Issues

mvrasmussen
Hello

I'm trying to implement a 220 firewall instead of our existing iptables (ClearOS) based firewall machine (it's a bit unstable)

Our setup is primarely based on a DMZ and a internal LAN

Our hosting provider hosts the network gateway (.1) because we are doing some telephony services, and we have not direct access to this.

All our servers (primarely application and web servers) are connected via the DMZ and have a external ip defined (ex: 10.20.30.10) (not the real ip)

Our database servers is placed in the LAN with 192.168.0.* adresses.

I've tried to illustrate the setup in the attached document.

I have replicated all the forward rules from our old firewall into the "Firewall -> Rules" section along with a couple of DNAT rules.

Ex could be  ->  ->  allow

I have also made some  ->  ->  ALLOW rules

But when i try to replace the old firewall with this, nothing works, and the log displays everything is Default DROP'ed

What am i missing? Static Routes?

Please advice


This thread was automatically locked due to age.
  • 0 in reply to BAlfson
    The one change I'd make in mvrasmussen's list of instructions would be to use 'DMZ -> Any -> Internet : Allow' instead of the combination of an Any-Allow rule preceded by a Lan-Drop rule.


    Other than less rules, any real advantage in doing this? and where talking about Internet IPv4 object yea?
    Because i know one advantage of having the drop rules, is you can disable logs for that rule, which will stop the spam for more critical areas.
    For example, on my dmz i would drop packet logs, because i dont care, but on my secure lan i would rather see whats being dropped.
  • 0
    Other than less rules, any real advantage in doing this?

    Yeah, you caught me. [;)]  As a math guy, I'm always looking for the most "elegant" solution.  The principle of Occam's razor is my "primary directive."

    Cheers - Bob
  • 0
    Hello All

    First of all thanks for all the insightfullness [[;)]]

    And yes, the 10.20.30.0 definition is instead of my real external /24 range, thought is was very clear in the first post and diagram, but seems not [[;)]]

    I have now edited all my host definitions (all 145 of them) to have ">" as Interface instead of specific interface

    And i have created the two masq rules stated before

    Do i need anything else?

    Than mayby i can try again to switch out the firewall first thing in the new year (need to call out to customers a week before, and now its christmas, so it has to wait a little bit) - It's the only way i can confirm it's working....
  • 0
    It sounds like you won't need/want the 'DMZ (Network) -> External' masq rule if the Cisco is configured to route the Astaro's DMZ subnet via the IP of "External (Address)" - is it configured like that?

    It's hard to tell if you have a routing problem unless you are more explicit about the IPs.  If the ones used are representative, your configuration can't work.

    Cheers - Bob
  • 0
    Maybe you should ask a mod to  have alook at how your asg is setup. because sometimes a picture is better than a thousand words.
  • 0
    This astaro is meant as a drop in replacement for the existing firewall in this setup (a firewall existing before i started my job here)

    The setup is exactly as i drawed in my diagram attached to #1 - where the 10.20.30.* is meant as our external /24 range defined by the hosting center the setup is located, they are also responsible for the mentioned cisco gateway.

    The machines in the DMZ network need to be able to use the internet, but the traffic incoming should be restricted to the ports/services defined.
  • 0
    Given the addressing scheme, if you don't have the DMZ and WAN interfaces bridged, you have routing conflicts.

    I suppose you will wind up with an interface "External" on br0 at 10.20.30.2, and the name DMZ will disappear.

    Everything else looks OK.  You do need the 'Internal (Network) -> External' masq rule though.

    Cheers - Bob
  • 0 in reply to BAlfson
    Given the addressing scheme, if you don't have the DMZ and WAN interfaces bridged, you have routing conflicts.

    Cheers - Bob


    that's exactly what i was asking the OP, and he never replied.  hard to help people if they don't [:(]
  • 0
    Actually, he answered the next time he posted.  As soon as he did, the implication of your question was clear - and that that was the problem he posted about.  Fortunately for him, Corey and I got him to fix some other issues, too. [;)]

    Cheers - Bob
  • 0 in reply to BAlfson
    Actually, he answered the next time he posted.  As soon as he did, the implication of your question was clear - and that that was the problem he posted about.  Fortunately for him, Corey and I got him to fix some other issues, too. [;)]

    Cheers - Bob


    I wasn't referring to whether they were sanitized addresses or not, but the network overlap.  I saw nothing in his followups that addressed that.