Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 5438 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

multi DMZ configuration

chacha
Hi, hope some one can help me in a sophisticated multi DMZ configuration. I'm trying to implement firewall separation for my subneted valid IP range, please take a look on the simple sketch of the simplified design I have attached;

1- the default gw interface is the WAN interface, all outbound traffic goes through it
2- I need to snat/masquerade the lan (or lans) to one of the valid IP's in the range of dmzs (or dmz interface addresses)

3- dmz ranges have valid ip, and outbound traffic must go to wan with no natting

4- how can I block multiple dmz networks to access each other(firewall rules) and only have access to internet through WAN

I would be thankful for some suggestions

[currently trying Sophos UTM essential firewall, will be replaced by hardware Sophos appliance]


This thread was automatically locked due to age.
Parents
  • 0
    Hi, chacha, and welcome to the User BB!

    We're all careful here, so no one will click on your picture to see it large enough to read it - we can't know how secure that outside service is or whether someone inserted a virus into your picture after you uploaded it.  Please edit your post - [Go Advanced], delete the external links and attach your pictures to your post.

    2 - With the UTM, you don't need to NAT or route between interfaces, you only need firewall rules to allow traffic.  WebAdmin automatically creates routes between the networks.

    3 - If you don't NAT the traffic from the DMZ, the public IPs will remain.

    4 - By default, all traffic is blocked - if you don't explicitly allow traffic between two networks, it will be blocked.

    Cheers - Bob
Reply
  • 0
    Hi, chacha, and welcome to the User BB!

    We're all careful here, so no one will click on your picture to see it large enough to read it - we can't know how secure that outside service is or whether someone inserted a virus into your picture after you uploaded it.  Please edit your post - [Go Advanced], delete the external links and attach your pictures to your post.

    2 - With the UTM, you don't need to NAT or route between interfaces, you only need firewall rules to allow traffic.  WebAdmin automatically creates routes between the networks.

    3 - If you don't NAT the traffic from the DMZ, the public IPs will remain.

    4 - By default, all traffic is blocked - if you don't explicitly allow traffic between two networks, it will be blocked.

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    Hi Bob,
    thanks for your kind response, I have edited the post and removed the external link as you said,

    inorder to let the dmzs networks to access internet I have to add an allow rule "dmz1 to any", but it cause the dmz1 to access all other interfaces too! what should I do? should I add other block rules for every single network to block dmz1 access to them? something like this:

    block dmz1->dmz2
    block dmz1->localnet
    allow dmz1->any

    regards