Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 5436 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

multi DMZ configuration

chacha
Hi, hope some one can help me in a sophisticated multi DMZ configuration. I'm trying to implement firewall separation for my subneted valid IP range, please take a look on the simple sketch of the simplified design I have attached;

1- the default gw interface is the WAN interface, all outbound traffic goes through it
2- I need to snat/masquerade the lan (or lans) to one of the valid IP's in the range of dmzs (or dmz interface addresses)

3- dmz ranges have valid ip, and outbound traffic must go to wan with no natting

4- how can I block multiple dmz networks to access each other(firewall rules) and only have access to internet through WAN

I would be thankful for some suggestions

[currently trying Sophos UTM essential firewall, will be replaced by hardware Sophos appliance]


This thread was automatically locked due to age.
  • 0
    Hi, chacha, and welcome to the User BB!

    We're all careful here, so no one will click on your picture to see it large enough to read it - we can't know how secure that outside service is or whether someone inserted a virus into your picture after you uploaded it.  Please edit your post - [Go Advanced], delete the external links and attach your pictures to your post.

    2 - With the UTM, you don't need to NAT or route between interfaces, you only need firewall rules to allow traffic.  WebAdmin automatically creates routes between the networks.

    3 - If you don't NAT the traffic from the DMZ, the public IPs will remain.

    4 - By default, all traffic is blocked - if you don't explicitly allow traffic between two networks, it will be blocked.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Bob,
    thanks for your kind response, I have edited the post and removed the external link as you said,

    inorder to let the dmzs networks to access internet I have to add an allow rule "dmz1 to any", but it cause the dmz1 to access all other interfaces too! what should I do? should I add other block rules for every single network to block dmz1 access to them? something like this:

    block dmz1->dmz2
    block dmz1->localnet
    allow dmz1->any

    regards
  • 0
    Don't use the Any object in your firewall rule.  Instead use the built-in Internet object.
  • 0 in reply to Scott_Klassen
    Don't use the Any object in your firewall rule.  Instead use the built-in Internet object.


    I wasn't aware of this built-in Internet object! does it mean "any network except the directly connected networks" ?
  • 0
    It's the same as the Any object in terms of addressing (0.0.0.0), but bound to the external interface.
  • 0
    I'm sure glad you got involved in this one, Scott.  I just realized that I may need to "tickle" my thoughts about an environment where I've recommended Uplink Balancing using both the Internal and External interfaces because there's another router with an internet connection in the mix...

    To add precision that is unnecessary for this thread, the "Internet" object is bound to all interfaces with a default gateway.

    Cheers - Bob
    PS Thanks, chacha, for making that change.  Again, welcome to this place!