Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 3864 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Help configuring Public IP Subnet

fede-r
Greatings from italy [:)]
I'm a pretty new UTM fan playing at home to understand it better.

I need to know if there are any best practice to publish an entire public subnet using the security layer of utm has to offer.

My ISP use a public ip to route an entire subnet so my setup is something like that (based on esxi):

Public IP (routed subnet) --- v-eth1 --- UTM --- v-eth2 (public subnet) --- different IP for different VMs

Everything works quite fine but I think I took the "complicated road" plus i'm facing some problems like ip reporting error (es. from a vm connected on the subnet the ip reported from myip.com is the public one used for routing the subnet)

Any advice and best practice for accomplish that?
Thanks and have a good day


This thread was automatically locked due to age.
Parents
  • 0
    The situation is more complex now with all the NATting going on.  The UTM can do firewalling, Anti-DoS and Intrusion Prevention without a private subnet (10.x.x.x).  There's really not any security advantage to this more-complicated solution, and I would urge you to simply use the public IPs on the DMZ as you had planned originally.

    The only reason to have a private subnet would be if you have a subscription for Webserver Protection - and that might be something you want to consider.

    If you want to keep the structure with a private subnet, then you probably want to use a DNAT with a corresponding SNAT instead of a masquerading rule.  In fact, with the proper addressing in the private subnet, you can replace all of your DNATs with a single 1-to-1 Destination NAT rule and all of your SNATs with a single 1-to-1 Source NAT rule.

    In any case, I would think you would want to used fixed IPs in your DMZ instead of DHCP.

    Also, looking more closely at the two 46.x.x.15x IPs, I suspect that you want to have them both defined on the same Interface instead of having a separate interface for WebAdmin and shell access.  When using VLANs, I like to have one interface that isn't a VLAN so that the admin can reach WebAdmin even if the VLAN switch is dead.  I can't see any advantage to having a separate IP for WebAdmin in your situation.

    Cheers - Bob
Reply
  • 0
    The situation is more complex now with all the NATting going on.  The UTM can do firewalling, Anti-DoS and Intrusion Prevention without a private subnet (10.x.x.x).  There's really not any security advantage to this more-complicated solution, and I would urge you to simply use the public IPs on the DMZ as you had planned originally.

    The only reason to have a private subnet would be if you have a subscription for Webserver Protection - and that might be something you want to consider.

    If you want to keep the structure with a private subnet, then you probably want to use a DNAT with a corresponding SNAT instead of a masquerading rule.  In fact, with the proper addressing in the private subnet, you can replace all of your DNATs with a single 1-to-1 Destination NAT rule and all of your SNATs with a single 1-to-1 Source NAT rule.

    In any case, I would think you would want to used fixed IPs in your DMZ instead of DHCP.

    Also, looking more closely at the two 46.x.x.15x IPs, I suspect that you want to have them both defined on the same Interface instead of having a separate interface for WebAdmin and shell access.  When using VLANs, I like to have one interface that isn't a VLAN so that the admin can reach WebAdmin even if the VLAN switch is dead.  I can't see any advantage to having a separate IP for WebAdmin in your situation.

    Cheers - Bob
Children
No Data