Official IPs

Your eth1 interface should have a public IP in the same subnet as the eth1 (internal interface) of your router. 


You should then be able to put alias IPs on the ASL interface and create DNAT rules for each IP and port you want to go to each web server.

You will then give each web servers a private IP from a 192.168.x.x, you could also use 10 or 172.6 subnets on the eth0 interface of the ASL box.

Remember the eth0 interface and all the web servers need to be on the same subnet unless you have more than 1 DMZ interface.

Hope this helps

isnt it posbile to keep the official ips on the server?

what is it my isp should change with solution 1;
http://docs.astaro.org/asl-faq.pl#4008

and what should i set up on the 2 interfaces, internal ips are not posible here.

Really think there should be some more information on this.

Ok, now i have talked with my ISP, and they say they can put the router on a /30 (.252) net, and then route both the nets (not the real ips shown here); 203.29.19.160/28  &  203.29.184.240/28, to our firewall (astaro) what IPs should i set up on the two interfaces then?

[ 24 January 2002: Message edited by: webdev ]

I really don't understand how this will work. You're going to route all the traffic from 2 different subnets to one interface on your firewall, then you're going to split that out again to 2 different subnets behind the firewall, all using legal Internet IP's? This seems to defeat much of the reasoning for having a DMZ. I'm assuming it's just difficult making your intentions clear with the limited tools available on this forum.

hi webdev,

this is the best way to do the things you wanna do.

example:
put the /30 network between router and external interface of your ASL-box:

a.b.c.4/30 - a.b.c.7/30
router:  a.b.c.5/30
asl-box (ext): a.b.c.6/30

the router routes the networks d.e.f.160/28 and g.h.i.240/28 via ASL-IP a.b.c.6 .

the internal ASL-interface gets 2 IP-adresses:
asl-box (int): d.e.f.161/28
asl-box (int ALIAS): g.h.i.241/28

define your networks:
network1 --> d.e.f.160 --> 255.255.255.240
network2 --> g.h.i.240 --> 255.255.255.240

add the access rules:
any --> http --> network1 --> allow
any --> http --> network2 --> allow

your webserver's default gateways:
servers in network1: d.e.f.161
servers in network2: g.h.i.241

this will work - and it is a great solution without any proxy arp, many alias IFs ...

bye,
michael

thanks Michael, that helped

kenton:
the reason we want astaro in front is to control which ports are open to the internet, fx the webserver only need 80, the mail server 25/110. but that part i get now.

the reason we have two "networks" is because of our ISP, we could probaly get a larger network than /28 now, but then we would have to change dns for 2000+ domains, and then change a lot of things on the server, we dont have time for that

[ 27 January 2002: Message edited by: webdev ]