Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 1 subscriber
  • Views 5365 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

HowTo? Segregate 2 LAN's both using the HTTP Proxy?

kury
Currently I have:
WAN: eth0
LAN1: eth1 192.168.1.0/24
LAN2: eth2 192.168.2.0/24
And I have an HTTP Proxy Profile setup for each (separately)

The problem I've been having is that even though I have Pack Filter rules that say to drop traffic going from LAN1 to LAN2 and vise-versa the proxy still lets you browse to 192.168.1.0 webservers from LAN2 & 192.168.2.0 webservers from LAN1.

I tried setting up some creative NAT'ing rules... but it didn't seem to make a difference..
Anyone know how I could pull this off?

Thanks...


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to BarryG
    Barry I've never needed to use a generic proxy and I'm not really sure where/when they are used...   Would you mind explaining the settings I would need for such a setup as mine?

    Thanks
  • 0 in reply to kury
    when using the proxy, wouldn't all traffic look like it's comming from eth0?
  • 0 in reply to kury
    Barry I've never needed to use a generic proxy and I'm not really sure where/when they are used...   Would you mind explaining the settings I would need for such a setup as mine?


    I'm not talking about the generic proxies, I'm talking about the http proxy/content filter.

    You should have, at a minimum, a profile for each group of users.

    roughly:
    group 1 can access internet sites, but is blocked from accessing EACH server in the other LAN
    You'll need to define EACH server by name and by IP, I believe.

    ditto for group 2


    Barry
  • 0 in reply to BarryG
    AHhh I see, I miss understood you.   Ya I've done that but its not a single web server on any of my networks and I don't always know where/what the IP's will be (or DNS for that matter)  plus there is no reason someone couldn't setup there own public domain and have it return the internal IP address to get to a webserver (I can't block domains I don't know about).

    I'm looking for an absolute guaranteed solution that nothing from lan1 will get into lan2 or versa-vise. I need a way to only allow the HTTP Proxy to access sites out on the WAN because currently it just assumes that anyone granted access to use the HTTP Proxy anywhere on any network has access to anywhere on any network via port 80........ (which isn't cool at all in a production enviroment.


    Thx
  • 0 in reply to kury
    For "absolutely guaranteed", this is all I can think of: separate proxy server in DMZ (another ASL box or whatever).

    This assumes you have internal DNS or do not need users to access internal servers through the proxy

    Put it in a DMZ, and DO NOT ALLOW it to talk to ANY internal servers, unless you want ANY internal user to be able to get to those servers.
    Do this by setting up packetfilter rules on the main firewall, not on the DMZ proxy.


          Proxy
            |
    LAN1 - ASL - LAN2
            |
           WAN


    Or, 2 separate ASL boxes:


    LAN1 - ASL1   ASL2 - LAN2
               \ /
               WAN
              Router       


    Barry