Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 1483 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Static routing, NAT and arp questions

martis
I'm having some issues getting NATs to work through my ASL firewall.  First, let me give some background:

FW External: 209.49.187.2/26
FW Internal: 10.0.0.0/8

My company has a webserver that hosts many sites that lives at 209.49.187.62 right now.  We want to move this webserver behind the new firewall, and give it a public IP that will be available to the outside world.  The new config would be like so:

Webserver External: 209.49.187.62
Webserver Internal: 10.0.0.5

In my experience with Checkpoint firewalls, this would require a static nat and a proxy arp.  What I have set up right now is an IP alias on the external interface of the firewall, and a DNAT.  This worked for a little while, but then died after a few hours.  Any suggestions/ideas?


This thread was automatically locked due to age.
Parents
  • 0
    Hi martis, 

    you were right, adding an alias interface with a dnat rule

    'webserver external' 'http' 'webserver internal' 'http' 

    and a packetfilter rule

    'Any' 'HTTP' 'webserverl internal' 'Allow'

    that should be it.

    did you make any other changes?

    Gert
Reply
  • 0
    Hi martis, 

    you were right, adding an alias interface with a dnat rule

    'webserver external' 'http' 'webserver internal' 'http' 

    and a packetfilter rule

    'Any' 'HTTP' 'webserverl internal' 'Allow'

    that should be it.

    did you make any other changes?

    Gert
Children
  • 0 in reply to Gert Hansen
    Nope, I didn't make any other changes.  It worked while I was testing it at our co-location space, but by the time I came into work the next day it was down.  

    If you add an IP alias, do you have to have proxy arp enabled on the interface?

    I appreciate your help.  

    -Mike
  • 0 in reply to martis
    quote:
    Originally posted by martis:


    If you add an IP alias, do you have to have proxy arp enabled on the interface?
    -Mike


    No, you don't need Proxy ARP on that network because the IP Alias will make the firewall react as if you were addressing its real external IP directly.  All you should have needed was the DNAT rule to interchange the external Internet address to the internal one of your server for HTTP protocol, and the appropriate packet filter rules to allow external accesses to this internal address.

    I guess you've resolved this by now though!    

    Justin.
    xxxxxx
Unfiltered HTML