[Need help]Firewall

Hi and welcome aboard,

how many NICs does your 220 have?
are you using both ranges on the one NIC?
How are you assigning your IP addresses?

You appear to have mixed up some masks for your IP ranges.

10.0.0.***/24 not 10.0.0.***x/8 for your packet filter rules to work because 10.0.1.*** is part of 10.0.0.*** range in the first part of your post.

Ian

- Astaro 220 has 8 NICs, 
- Yes, 2 range on same NIC
- SOme people in same room allowed use internet and some peoples not allowed (email only) and both can share documents together
How do you set up the rules for my situation? Thx for answer

Hi, 
easy to setup, hard to police.

How do you plan to restrict the people (PCs/laptops) the correct IP address range? If you plan on fixed IP, what is to stop people from changing their IP address?
You setup filters for the ranges, but you make sure your ranges are seperate eg DHCP 10.0.1.***/24 and DHCP 10.0.0.***/24 and your filters will work.
The other problem is your rule of any -> any -> allow that means any/everyone on the internet can use your ASG.
Rangea -> any (port) -> any destination -> allow
Rangeb -> mail group (ports) -> any destination -> allow
This also assumes you have NAT (MASQ) in place?

What features does you ASG 220 have?
Mail protection, web protection?

Ian

- I have created 2 DHCP range, static mapping mac to ip. Of course IT can not stop user changing their IP, but my boss don't care about that. I have explained for him that user can changing their IP and no way to prevent that. Now I just care how to prevent user from IP range 10.0.1.x using internet.
   I have try create 2 rule but they're useless:
1. 10.0.0.0/24(Type : network, interface: any, IPv4 Address : 10.0.0.1, netmask :/24(255.255.255.0)) - any - any : allow
2. 10.0.1.0/24 - Email Messaging - any 
   - Only have network security in my ASG 220, no mail, no web security.
And now it still does not work

Hi,
If you are using fixed addressing, you don't need DHCP servers.

the interface definition 
Internal interface (internal gateway)
10.0.2.0/23 I think gives you the range you want
10.0.2.1/23 would be the address of the interface

Network objects
groupa 10.0.0.0/24
groupb 10.0.1.0/24
external mail server IP address (either DNS or fixed)

packet filter
groupa -> any (ports) -> any (destination) -> allow
groupb -> email ports -> your external mail server -> allow

NAT (MASQ) internal network -> external address

Ian

When I change Internal interface, IP of the modem also change to 10.0.2.1, DO i have to change gateway in DHCP too? ( 10.0.0.1 -> 10.0.2.1 )

Whoa, what is this IP of modem change?

The modem should be on its own interface with a network address provided by your ISP, depending on how you have it setup?

Internet ->ISP -> modem -> external interface of ASG -> ASG -> internal interfaces.

If you have the modem setup as a router/modem then yes you would have an IP address on it, but outside of the range of your internal addresses ranges eg external 192.168.0.1/24 so there is no confusion with your internal networks, internal 10.0.2.0/23 seeing you are only using one interface.


Ian