Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 3188 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DMZ Problem

Fiazko
Hi Board Members,

I got my ASL configured as a three-homed gateway. The three NIC got the following IPs
internal NIC: 10.0.0.254/8
DMZ NIC     : 200.36.14.1/24
external NIC: 200.36.15.1/30

The exteranl NIC connects to a router which in turn connects to a leased line.

When I set up the ASL I can connect from the internal network as well to the DMZ as the Internet. From the DMZ I can connect to the internet, too.
Strange enough from the internet no connection into the DMZ is possible.
However if I put a box between the ASL and my router it can be reached from outside, so the router config is probably allright, since I have set up an gateway entry in the routing table for the DMZ's net.
From the DMZ I can just ping out into the internet, but although I have configured a rule to allow all services from and to all networks I can get no name resolution or something.

Has anybody an idea what might be going on here ?

Thanks in advance

Fiazko


This thread was automatically locked due to age.
Parents
  • 0
    quote:

    However if I put a box between the ASL and my router it can be reached from outside, so the router config is probably allright, since I have set up an gateway entry in the routing table for the DMZ's net.

    are you sure ? from what you post, it looks like the DMZ network is routed on to the router's internal interface, so it "sits" on the ethernet between the router and ASL.

    If you have the latest beta, try activating proxy ARP on the ASLs external interface. That will also fix it.

    /tom
Reply
  • 0
    quote:

    However if I put a box between the ASL and my router it can be reached from outside, so the router config is probably allright, since I have set up an gateway entry in the routing table for the DMZ's net.

    are you sure ? from what you post, it looks like the DMZ network is routed on to the router's internal interface, so it "sits" on the ethernet between the router and ASL.

    If you have the latest beta, try activating proxy ARP on the ASLs external interface. That will also fix it.

    /tom
Children
  • 0 in reply to tom_01
    I got a ASL 1.821 running
    this may sound like a stupid question...but how do I enable proxy ARP ?
  • 0 in reply to Fiazko
    Hello Fiazko,

    You seem to be having the same issues that I had several weeks ago.  I am not using your particular setup regarding IP scheme, but here is a good explanation of what I did to make this work correctly.

    First off are you trying to get a webserver or something working via the Internet?  If so this is as simple as I can put it. 

    First you will need to setup the NETWORK DEFINITION'S of the EXTERNAL INTERFACE and the NIC within the DMZ's segment (WebBox Interface).  

    Second goto NETWORK/DNAT/ section and set the EXTERNAL INTERFACE(source) / PORT(i.e. HTTP) / DESTINATION (WebBox interface) / PORT(i.e. HTTP).  

    Third goto the PACKET FILTER/RULES/ and put in the EXTERNAL INTERFACE / PORT(i.e. HTTP) / WebBox INTERFACE / PORT (i.e. HTTP) and don't forget ALLOW    .

    This is the setup to make a WEBBOX work with DNAT running, you can also add other ports that you wish to open to this but remember that you MUST do this in those TWO PLACES.

    I am sure whatever you are doing this will point you in the right direction even if it is NOT a WebBox it will work the same as far as my experiences have taken me.

    I hope this really helps you out.

    Kit  
  • 0 in reply to Kit
    Hi Kit,

    thanks for the tips.

    Exactly I didn't trie to realize my config via NATing the DMZ's IPs, since I got 95 of them on several servers...:-)
    I just want to get the ASL to route in to and out of the DMZ; with some packet filtering of course...:-)
  • 0 in reply to Fiazko
    I have the same troble, and I don´t want to do DNAT, because I have 64 registered IP adressess.

    I think I should be able to get it working.

    I hope you could help us.

    Thanks
Unfiltered HTML