Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 2 subscribers
  • Views 2017 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Configure a whole class c-network on WAN?

loneleever
Hello everybody.

our ISP has provide us a whole class c-network for external use. We have a full configured CISCO router in front of our UTM 9.2. I have a understanding problem what the correct settings for the WAN (ETH1) are, to use the whole class c-network correctly on a Sophos UTM.

Which subnet mask should I use for the WAN interface? Do I use a "real" class c subnet or do I configure the subnet to /32 (255.255.255.255) for my primary address?

For example:
IP: 123.123.123.5 (UTM)
Subnet: 255.255.255.0 or 255.255.255.255 (?)
GW: 123.123.123.1 (ISP router)

I also use several additional addresses. For that i configured an additional address on my interface, using 255.255.255.255 as a subnet.

Everthing seems to be fine, also the connection are working (with both settings). The only thing is, that I see several "default drops" coming from external (to the interface) in the firewall logs.

I configured a "cleanup"-rule at the bottom, which means "ANY" - "ANY" - "ANY" --> reject. for my understanding I should only see all "dropped packets" which are matching with my cleanup-rule. Why do I also see several dropped packets (default)?

Thanks for help.

Cheers


This thread was automatically locked due to age.
Parents
  • 0
    If you don't plan on using Webserver Protection, the other thing you might want to consider is a DMZ with your Class-C.  All you need is an IP outside of that subnet for the primary IP on the External interface, and your ISP needs to route your Class-C to that IP.  That way, you can avoid creating Additional Addresses.

    If this isn't possible, then a good numbering plan will let you use a single 1-1 Destination NAT instead of having to create individual DNATs for each Additional Address.

    Cheers - Bob
Reply
  • 0
    If you don't plan on using Webserver Protection, the other thing you might want to consider is a DMZ with your Class-C.  All you need is an IP outside of that subnet for the primary IP on the External interface, and your ISP needs to route your Class-C to that IP.  That way, you can avoid creating Additional Addresses.

    If this isn't possible, then a good numbering plan will let you use a single 1-1 Destination NAT instead of having to create individual DNATs for each Additional Address.

    Cheers - Bob
Children
No Data