2 Web Server under DMZ

if you have more than one external address, you can simply use the same dnat rules you used for the first for any additional addresses...  

host_external_1->http->host_internal_1->http
host_external_2->http->host_internal_2->http

Do I have to "declare" every IP-Adress? I have 3 class-C with webservers. Do I have to set them up (ASL 1.185) all one in one and every IP address again with all the services (ftp, pop3, etc.) line per line????
I hope I can build groups, but I didnt find out how....   [:S]

This might go beyond the scope of ASL and moreso involve the DNAT code itself, but how nice it would be if DNAT could handle a function similar to Host Header Records on virtual web servers hosted from a single IP address.

Instead of using the destination IP/Port to determine what NAT IP/Port forward packets to, it would instead look at the URL to do the mapping.  

For example, eventhough www.whatever.com  and www.whateverelse.com  both point to the same IP, DNAT is smart enough to know that they are intended for different NAT'd servers behind the same ASL box...


Oh, what a dream..  :-)

Greg

This might go beyond the scope of ASL and moreso involve the DNAT code itself, but how nice it would be if DNAT could handle a function similar to Host Header Records on virtual web servers hosted from a single IP address.

Instead of using the destination IP/Port to determine what NAT IP/Port forward packets to, it would instead look at the URL to do the mapping.  

For example, eventhough www.whatever.com  and www.whateverelse.com  both point to the same IP, DNAT is smart enough to know that they are intended for different NAT'd servers behind the same ASL box...


Oh, what a dream..  :-)

Greg

from your message, it looks like what you need is a reverse proxy setup.
in dns map all the urls to the proxy ipaddress, and then on the proxy box, map all the hostnames www.domain.com,  domain.com to each server that it needs to get to respectively.

px,

Where reverse proxy would work, it would be nice to be able to do this from within ASL instead of a second server...

Greg

Changing the configuration of squid within ASL might get this to work for you.  You'd have squid act as the reverse proxy for your web servers.  I haven't tried it...Yet...But I am going to give it a try and add the various configuration to see if it can work.  At the very least this should secure anyone running an IIS webserver on Windows.  [:)]od!)

Paul

hi guys,

Marius: with our current DNAT capabilities, you'll really have to make a "host" entry for each webserver. But if you really have some class C's full of webservers, I'd not use DNAT to connect them. NAT is not a security feature in such a monolithic setup.

Reverse Proxying does add security, but it will make things a LOT slower (not good for high load sites) and it will prolly break a few things too.

/tom

@tom: If I should not use NAT (which seems to be better in my case), how should I set it up?
The "tool" you described in http://www.astaro.org/cgi/ultimatebb.cgi?ubb=get_topic&f=8&t=000217  ?

[ 06 June 2001: Message edited by: Marius Schäfer ]