Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 3 subscribers
  • Views 3150 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Minimum settings for Internet access

Swad
First off, I want to say I'm quite impressed with what Astaro has to offer for a network / Internet connection and security solution.  Granted, I still have yet to get things functional, but I'm already impressed with the capabilities and features I've read about after going through the manual.

Here's the deal--What is the minimum I need to get workstations on the private interface to access the public interface (the internet in general).  I have pretty much read through the manual from beginning to end, and it most all makes sense.  I think I am missing one small detail to get going.

I run a small home network (3 pc's behind the firewall).  My private interface is a class 3 subnet with IP 192.168.1.1 and no gateway (it is thet gateway!).  My public interface is all DHCP driven by my ISP.  From a computer on my private LAN, I can ping both my gateway (192.168.1.1) AND my public interface IP (assigned by my ISP).  I can see everything up to and intcluding the public interface.  I also know the public interface is viewable from the outside (I can ping and use WebAdmin from work using it's IP -- I will restict access more later when I get things rolling).  I have setup masquarading for my eth1 interface to masquarade my eth0_network__.

I haven't bothered with any proxies as it is my understanding that isn't necessary at this point for internal pc's to access the Internet.  I also haven't touched routing as I gather the default routes setup should suffice (they appear to be setup fine).  My assumption is my rules are not setup properly and that is why I cannot get out.  Just for testing purposes I tried to setup a rule of:

Any | Any | Any | Allow

I figured this would allow anything on the inside to access the outside.  Unfortunately, that did not happen.

I have done all I know to allow my clients access to the outside world to browse, get email, etc.  I can't even ping the outside.  I know my client PCs should be work just fine, but they're not (correct IPs, class C subnet just as the internal interface, gateway pointing at the internal interface).  Nothing is working.  It has to be a setting on the firewall, because as I said, I can pint both interfaces from inside, and from the outside I can access my public interface.

Any guidance as to what I may be missing would be great.

Thanks!


This thread was automatically locked due to age.
  • 0 in reply to Biffa
    Well I'm making a LOT of headway.  I'm on my lunchbreak right now and at home behind my firewall!  However, I don't have DNS running as I would wish it to.  Not sure what I did to get my workstations to finally SEE the internet, but they do.  seems DNS Proxy isn't working right.  I have it setup as such:

    Interfaces to listen on: eth0 (private)
    Allowed networks: eth0_Network__ (192.168.1.0)
    Forward name servers: my ISP DNS servers

    All the same, my workstations would not resolve DNS names when i made my DNS server my gateway (192.168.1.1).  However, I entered the DNS servers into my PC manually, and CHA-CHING!  It works!  It works... but not how I want it to.  I want my firewall to resolve for me--make my PCs look at my gateway for DNS resolution.  When I use the ping tool on the firewall, i can ping an IP, but it won't do a DNS name.  IT seems, however, when i connect to webmin at work via my public IP, I CAN in fact ping a DNS name.  It appears that somewhere between publick and private ports it is not passing along DNS info.

    What needs to happen here to get that goin?

    Thanks!

    ------------------

    Update--can't resolve DNS names when connected to the public port from work either.
     
     [size="1"][ 09 August 2002, 17:27: Message edited by: Swad ][/size]
  • 0 in reply to Swad
    [QUOTE]Originally posted by Swad:

    Interfaces to listen on: eth0 (private)
    Allowed networks: eth0_Network__ (192.168.1.0)
    Forward name servers: my ISP DNS servers


    I have mine set to:
    listen: eth0, external
    Allowed: eth0_Network__ , localhost
    Forward name servers: my ISP DNS servers

    Its probably the "localhost" setting that stops you resolving DNS if you are logged into the console.


    All the same, my workstations would not resolve DNS names when i made my DNS server my gateway (192.168.1.1).  


    What happens if on your workstations you do a "nslookup www.microsoft.com" make sure they really are looking at the firewall for the dns.


    However, I entered the DNS servers into my PC manually, and CHA-CHING!  It works!  It works... 


    Do you mean you entered your ISP's DNS servers on your workstation?

    but not how I want it to.  I want my firewall to resolve for me--make my PCs look at my gateway for DNS resolution.  When I use the ping tool on the firewall, i can ping an IP, but it won't do a DNS name.  IT seems, however, when i connect to webmin at work via my public IP, I CAN in fact ping a DNS name.  It appears that somewhere between publick and private ports it is not passing along DNS info.

    localhost in the allowed networks for the proxy should fix that.
    [QB]
  • 0 in reply to Biffa
    Frustrating??? yes.... just a bit

    Here's the deal.  I first added localhost to allowed networks.  Nothing happened.  So, I added eth1 to interfaces to listen to.  What happens? it works!... but here's the annoying part.  I wanted to verify exactly what made it start working.  I removed eth0... still was working.  I removed localhost... still working.

    Currently, I am back at square one where I started, but it's all working now (for no apparent reason considering all the settings are the same).  I would like to know what is causing this to work as such.  Seems kinda flaky and hit/miss in this respect.

    Oh, and just to fill you in, yes, i was making the DNS server addresses on my workstations the one from my ISP instead of eth0 (they're eth0 now, and working fine w/DNS name resolution).  also, nslookup yielded the same information whether i used eth0 or my isp dns servers for name resolution (except of course IP and hostnames were different).

    All kinda weird.  aside from the DNS issues and not knowing what made it start working, I'm still impressed with the software.
  • 0
    Turn on the DNS proxy as a minimum, its not essential but makes life a bit easier for the firewall.

    Try traceroutes and pings from the web admin "Tools" section, under "Network" menu.

    Pick an easy one like your ISP's DNS servers
    or perhaps your ISPs web site. Make sure that
    the firewall can reach out and resolve DNS.

    Assuming that all works, make sure that the machines on your network have their default gateway set to the internal interface of the firewall, also that their DNS setting is set to the firewall. then with those machines try the same thing, try resolving domain names using nslookup, and pinging them and tracerouteing to them.

    Once you can ping and traceroute to external addresses past the firewall from inside you should be ok.

    Once you are up and running, a step higher in the rules stakes would be to change the first "Any" in your first rule to "eth0_network__"

    Then test again.

    Then create a Service group in Definitions with the protocols you want to allow out through the firewall, and change your default rule to that group intsead of "Any" service.

    You might want to at least turn on the web proxy (make sure its only accessible by eth0_network)
    then you remove the http and ftp rules from your service group.

    Remember the rules are processed from top to bottom so be careful how you organise them.

    Good luck
  • 0 in reply to Swad
    Originally posted by Swad:
    Frustrating??? yes.... just a bit
    I know, DNS is one of the most frustrating protocols out there. The main reason its so frustrating is because it caches records all the way from the root servers down to the workstation level.

    If your workstations are running windows then you can force a cache reload after changing dns settings is "ipconfig /flushdns"

    But astaros dns proxy caches as well and sometimes its just best to wait a bit, it sometimes take a while for everything to settle down when you make changes.

    Another thing that can be frustrating is when you make multiple changes at once and you are not sure which one fixed it, it could even be one change you made two steps back..   [:O]  

    Glad you got it working.