webserver in DMZ not accessable from internal net

Hi Garnemark,

this is a well known problem with Masquerading. Please read theNAT-Masq-FAQ for further information.

regards,
    andreas

Thanks, I have read it. It seemed to be the transparent proxy that caused my problem, it works when it's turned off. Is there another way to solve this problem?

I have exactly the same problem.  [:S] 
IS there a solution to this ?

Try turning off the transparent proxy option on the Astaro box, then if worked for me anyway! (would of course be better with another solution, if anyone knows how to!?!)

[ 22 July 2001: Message edited by: garnemark ]

hello garnemark, hello andreas.

andreas wrote "this is a well known problem with Masquerading" and garnemark "...turning off the transparent proxy option on the Astaro box, then if worked for me". Both i dont understand.

I have 3 networks (extern 217.x.x.x, DMZ 172.16.x.x, intern 192.168.x.x). The routing  table consists only of 3 interface routes and the gateway. That should force the whole network traffic passing the firewall (NAT_Masq.txt Q/A9).

I mapped the external IP 217.x.x.179 with DNAT to a private address from the DMZ network. External access via internet is working. As far as i understand the documentation, DNAT is the first action that happens to a packet and Masq is the very last. Masq is only applied, if the packet passes a interface to wich Masq is bound. I use Masq on 192.168.x.x->ext(eth1). A request from intern (eth0) to DMZ (eth2) should never get masqueraded. So, why is this a Masq problem?

Now to the proxy. Everything works fine - if the proxy ist completely turn off! It is not sufficient to turn off the transparent option and let the proxy work on port 8080. For me, a workaround was to configure all local HTTP clients to bypass the proxy for DMZ addresses. Realy a lot of work and for a certain application not possible.

Please, could someone explain this "known" problem to me?

Thomas

Does nobody have an explanation for this "known problem"  [:S]

Thomas

Does nobody have an explanation for this "known problem"  [:S]

Thomas

hi thomas,

in your case, it does not seem to be a masq problem, but I suspect it is a DNS problem.

please give me the complete symptoms. you have

- proxy turned on (non-transparent)
- browser using proxy
- ">http://  does NOT work now
- does ">http://  work ?
- does ">http://  work ?

also log on with ssh and do "ping " to see what the ASL resolves it into.

/tom

tom,

i have
- proxy turned on in non-transparent
- browser using proxy on intern_nic:8080
- http://host.domain.de  does NOT work

- ">http://  does NOT work
- ">http://  does work

ssh -l loginuser 192.168.1.20
loginuser@asl:/home/login > ping
no such file or directory
loginuser@asl:/home/login > /sbin/ping
ping: ping must run as root
loginuser@asl:/home/login > su root
asl:/home/login # ping host.domain.de
PING host.domain.de (217.x.x.x): 56 data bytes
ping: sendto: Operation not permitted

fyi: i turned off icmp forwarding AND icmp on firwall. but you see, the address resolution worked anyway.

Also if i turn on icmp forwarding AND icmp on firewall, i cannot ping host.domain.de nor its official (DNATed) IP address. I can ping the NIC to the DMZ and the DMZ-address of these host. 

If i try these pings from a NT box on 192.162.x.x the results are identical.

Thomas

I have put an analyzer on the server in the DMZ. the nic receives not a single icmp request if i ping the official (DNATed) IP address. for the DMZ-address everything is fine.

btw i use 1.920

thomas

hello,

any new ideas?