Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 2689 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Proxy ARP for Public Access to internal Devices

intenso
Hi,

i've got a full Class-C Network from my Carrier but i need my Firewall between the Internet and my Web-Servers.

a colleague gave me the hint about the resolution: Proxy ARP.

my config:

Carrier IP: [Public-IP].1

ASG-external interface: [Public-IP].2/24
ASG-internal interface: (Dummy-Network) 192.168.80.0/24; Proxy ARP ON

web-server (connected on internal interface): [Public-IP].100
GW & DNS: [Public-IP].1

Packet-Filter: 
any->any->[Public-IP].1
[Public-IP].1->any->any

The Packet-Filter Log shows me the DNS requests from the web-Server to his Gateway. But the Webserver cannot reach any Internet-IP (like google.com). The same from Internet: the Public-IP from my Web-Server is not reachable.

Is there a Static-Routing needed or something like that?

where is my failure? I think that do not go in such a way but how it works with Proxy ARP?


my ASG is Version 8.103

thanks for help


intenso


This thread was automatically locked due to age.
  • 0
    Hi,
    why don't you put the ASG in bridged mode so you can use all the /24?

    Why does you webserver need to reach external sites unless you are linking to them?

    I would suggest you investigate the WAS function of the ASG, it is designed for just what you are trying to do.

    Ian
  • 0
    As a alternative to bridging or DNATs, you could use a DMZ with public IPs and have your ISP route to them via an IP on your External interface.  I don't think you want to use Proxy ARP.

    Cheers - Bob
  • 0 in reply to BAlfson
    As a alternative to bridging or DNATs, you could use a DMZ with public IPs and have your ISP route to them via an IP on your External interface.  I don't think you want to use Proxy ARP.


    I agree with Bob.

    FYI, Many ISPs will call this a 'transfer network'.

    Barry
  • 0
    thanks for your hints.

    i wrote my isp and asked about an transfer network. on monday it will be ready.
    i know this way from my other work locations.

    my collegue uses proxy arp since 10 years to show web servers without a transfer network but i have not the time to test it fine.


    intenso
  • 0
    Packet-Filter: 
    any->any->[Public-IP].1
    [Public-IP].1->any->any


    BTW, your packetfilter rules don't look right; certainly they'll need to be changed for the new configuration.

    Also note you won't need DNAT or MASQ anymore once your class C is your internal network.

    Also, you may want to put your public servers in a DMZ, with your internal PCs and servers on a separate LAN.

    Barry
  • 0
    instead of a transfer network why not bridge the astaro?