Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 3 subscribers
  • Views 2191 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

2 Web Server under DMZ

llt
Hi to all,

I have two different web servers (different hosts different web no load balancing) under my DMZ.

I need to make these web servers public accessible from Internet.
I solve the problem using DNAT for only
one, but i don't understand how to solve the problem for two or more.

How can i do?

Thanks!


This thread was automatically locked due to age.
Parents
  • 0
    if you have more than one external address, you can simply use the same dnat rules you used for the first for any additional addresses...  

    host_external_1->http->host_internal_1->http
    host_external_2->http->host_internal_2->http
  • 0 in reply to zen
    Do I have to "declare" every IP-Adress? I have 3 class-C with webservers. Do I have to set them up (ASL 1.185) all one in one and every IP address again with all the services (ftp, pop3, etc.) line per line????
    I hope I can build groups, but I didnt find out how....   [:S]
  • 0 in reply to Marius
    This might go beyond the scope of ASL and moreso involve the DNAT code itself, but how nice it would be if DNAT could handle a function similar to Host Header Records on virtual web servers hosted from a single IP address.

    Instead of using the destination IP/Port to determine what NAT IP/Port forward packets to, it would instead look at the URL to do the mapping.  

    For example, eventhough www.whatever.com  and www.whateverelse.com  both point to the same IP, DNAT is smart enough to know that they are intended for different NAT'd servers behind the same ASL box...


    Oh, what a dream..  :-)

    Greg
  • 0 in reply to Greg Myers
    from your message, it looks like what you need is a reverse proxy setup.
    in dns map all the urls to the proxy ipaddress, and then on the proxy box, map all the hostnames www.domain.com,  domain.com to each server that it needs to get to respectively.
  • 0 in reply to px_03
    px,

    Where reverse proxy would work, it would be nice to be able to do this from within ASL instead of a second server...

    Greg
  • 0 in reply to Greg Myers
    Changing the configuration of squid within ASL might get this to work for you.  You'd have squid act as the reverse proxy for your web servers.  I haven't tried it...Yet...But I am going to give it a try and add the various configuration to see if it can work.  At the very least this should secure anyone running an IIS webserver on Windows.  [:)]od!)

    Paul
  • 0 in reply to paulmona
    hi guys,

    Marius: with our current DNAT capabilities, you'll really have to make a "host" entry for each webserver. But if you really have some class C's full of webservers, I'd not use DNAT to connect them. NAT is not a security feature in such a monolithic setup.

    Reverse Proxying does add security, but it will make things a LOT slower (not good for high load sites) and it will prolly break a few things too.

    /tom
  • 0 in reply to tom_01
    @tom: If I should not use NAT (which seems to be better in my case), how should I set it up?
    The "tool" you described in http://www.astaro.org/cgi/ultimatebb.cgi?ubb=get_topic&f=8&t=000217  ?

    [ 06 June 2001: Message edited by: Marius Schäfer ]
Reply Children
No Data
Unfiltered HTML