Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 6332 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Newbie setup help

netfreak
Reading over the docs I think I have a good idea of how to setup the web server security:

1) Internal IP on the actual webserver
2) NAT rule for external IP to the internal
3) Create the real/virtual web servers using the internal IP
4) Set the domain being used

I have some questions though. Can I avoid using a separate internal IP on the web server and use the external IP I already allocated to it, or does this require NAT? My DNS still points to the external IP being NAT'd, and the proxy just filters this automatically? Also, if I specify the root domain in the domains list does this cover subdomains as well or do these need to be added manually?


This thread was automatically locked due to age.
Parents
  • 0
    Yes, a lot more in addition to IPS.  Webserver Protection helps secure against SQL Injection and Cross-Site Scripting as well as offering other protections.  The help for 'Firewall Profiles' in that section will give you a better idea.

    It sounds like your current configuration is, in essence, a DMZ with public IPs that your ISP routes to via an IP on your External interface.  My recommendation would be a two-step approach to move the pulic IPs to the Astaro and :

    [LIST=1]
    • Move the servers to a private IP range, put their public IPs on the External interface as Additional Addresses and put DNATs in place to route them to the new private IPs.  Have your ISP change their gateway for the subnet to the same as for your primary IP.
    • Set up Real Servers for each new physical private IP, and configure one or more Firewall Profiles if needed.  One-by-one, for each DNAT/Real Server, configure one or more virtual servers, activate them, disable the related DNAT and test.  Adjust the configuration before moving on to the next DNAT.
    [/LIST]
    Lets us know how you decide to do it and any recommendations you'd make.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    Yes, a lot more in addition to IPS.  Webserver Protection helps secure against SQL Injection and Cross-Site Scripting as well as offering other protections.  The help for 'Firewall Profiles' in that section will give you a better idea.

    It sounds like your current configuration is, in essence, a DMZ with public IPs that your ISP routes to via an IP on your External interface.  My recommendation would be a two-step approach to move the pulic IPs to the Astaro and :

    [LIST=1]
    • Move the servers to a private IP range, put their public IPs on the External interface as Additional Addresses and put DNATs in place to route them to the new private IPs.  Have your ISP change their gateway for the subnet to the same as for your primary IP.
    • Set up Real Servers for each new physical private IP, and configure one or more Firewall Profiles if needed.  One-by-one, for each DNAT/Real Server, configure one or more virtual servers, activate them, disable the related DNAT and test.  Adjust the configuration before moving on to the next DNAT.
    [/LIST]
    Lets us know how you decide to do it and any recommendations you'd make.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data
Unfiltered HTML