Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 2273 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Realserver in DMZ or LAN setup?

dirky
Hi, I'd like to make my Realserver at home acessable over my DSL. Has anybody set a realserver up to be reachable through Astaro?

I'm sure it is possible but maybe somebody could
verify.

thanks
Mike


This thread was automatically locked due to age.
Parents
  • 0
    You only have to open up the ports the realserver uses. Maybe you should give it a try  [;)]
  • 0 in reply to Marius
    Thanks, after thinking this through some more I have got myself more confused  [:)] 

    at the moment I have 3 interfaces in my ASL box.

    eth0 Internal 192.168.1.1
    eth1 External 148.88.x.y
    eth2 DMZ 192.168.2.1

    At present I have a box in my DMZ, 192.168.2.2 which is my web server, I am using DNAT for this and all is fine.

    However I'd like to put the Realserver (different box) in the DMZ and make it have a 148.88.x.z address and use proxy arp on eth2 to make eth1 answer arp request for it.

    I dont think this is going to work. Must I therefore give my eth2 DMZ interface another 148.88.a.b address and then change my ftp server box and drop DNAT?

    The reason I want to give the Realserver box a internet address is because I think it is going to make the Realserver easiser to work. I'll only have to allow the incoming ports through the firewall in to the DMZ.

    Sorry for going on a bit. Can anybody understand that  [:)] 

    Thanks
    Mike
  • 0 in reply to dirky
    If you drop DNAT and give your eth2 also a 144.88. address, you can enable Proxy ARP for this interface AND split your Network into two pices to get it to work. Youre going to loose some IP-addresses at this moment (for Network and Broadcast). But it will work.

    Better way is to get a transfer net from you provider. Take a look at 

    http://www.astaro.org/cgi/ultimatebb.cgi?ubb=get_topic&f=6&t=000221

    and

    http://www.astaro.org/cgi/ultimatebb.cgi?ubb=get_topic&f=6&t=000289

    I dont know if it is easier if you know how to handle DNAT. The realserver should accept both     

    Hope that helps.
  • 0 in reply to Marius
    Right, here is where I got to last night.

    I dropped DNAT to the webserver and gave it a 148.88.a.b address. Also put the Realserver in the DMZ and gave that a 148.88 address. I changed the IP of the DMZ interface, eth2 to a 148.88
    address too.

    I set the default route of the 2 machines in the DMZ to the IP address of the DMZ interface.

    From both these machines I cannot ping anything, apart from each other.

    From the ASL box I can ping both machines in the DMZ but cannot SSH to them, even though I have allowed SSH to these machines from ANY?

    I've read the manual on Proxy Arp for ASL, I understand the concept but am a little confused
    after looking at the online Astaro help as to which interface(s) I need to enable it on?

    I would have thought it needs to go on the external interface only?

    Anyway, more details. I should probably point out that the 148.88 addresses I am using are not consecutive and I cannot use a netmask from the DMZ interface for them, I had to set the netmask of the DMZ interface to 255.255.255.255 and add
    manual routes in astaro to them. Will this cause a problem?
    I know when I tick the proxy arp check box on the external interface it comes back with this error:-

    An interface for the IP range 148.88.0.0/255.255.0.0 already exists!

    So to summarise, I cannot reach anything from the DMZ PC's, not even ping the DMZ IP address.

    From the ASL box I can ping the DMZ PC's

    From outside I can ping the ASL external interface but cannot ping the DMZ PC's (probably the fact I cannot proxy arp for them)

    Thanks
    Mike
  • 0 in reply to dirky
    I think it would be easier to follow, if you tell us the addresses you are using in the way a.b.100.2 instead of 148.88.0.0.



    I guess: yes. Which addresses are you able to use?

    [ 11 January 2002: Message edited by: Marius ]
    
				                    
    
                
    
            
    
        	
    

		
		
		
		
	
    
	
    
		
    
			
		
    
	
    
	
    
		
						
				
				
				
				
				
		
		
    
			
		
    
	
    

    

    • 

	

  • 
	
    



	
		
	
	



    
	
    
		
    
							
					
    
		
    
			
													0
							
			
				
									
							
						
				
			
												
						in reply to Marius
					
									
    
	
    

		
		
    
					
    Well, I think it is maybe not going to work unless the machines in the DMZ are all part of the same network, in my case they are not and can't be. 
    So I've decided to go back to using a network of 192.168.2.0 with netmask 255.255.255.0 in my DMZ.

    DMZ interface is 192.168.2.1 and 1st pc is 192.168.2.2 and so on.

    My question now. To enable the PC's in the DMZ to talk to the outside world through ASL, I realise I must use DNAT now for incoming packets and allow the ports etc through in the packet filter but what about outbound packets? DMZ -> Internet
    Do I enable masquerading for this network? Is SNAT better for this?
    I'm using masquerading from my lan 192.168.1.0 -> internet.

    Thanks again,

    Mike
    
				                    
    
                
    
            
    
        	
    

		
		
		
		
	
    
	
    
		
    
			
		
    
	
    
	
    
		
						
				
				
				
				
				
		
		
    
			
		
    
	
    

    

    • 

	

  • 
	

    • 

	

  • 
	
    



	
		
	
	



    
	
    
		
    
							
					
    
		
    
			
													0
							
			
				
									
							
						
				
			
												
						in reply to Marius
					
									
    
	
    

		
		
    
					
    " Adding a SNAT rule will also do DNAT on the reverse data path, and doing
    DNAT will add SNAT on the “way back”, so the difference is only in how the
    initial connection setup is handled."

    Guess thats the relevant bit from that document.

    Ta.
    
				                    
    
                
    
            
    
        	
    

		
		
		
		
	
    
	
    
		
    
			
		
    
	
    
	
    
		
						
				
				
				
				
				
		
		
    
			
		
    
	
    

    

    • 

	




Reply

    


  • 
	
    



	
		
	
	



    
	
    
		
    
							
					
    
		
    
			
													0
							
			
				
									
							
						
				
			
												
						in reply to Marius
					
									
    
	
    

		
		
    
					
    " Adding a SNAT rule will also do DNAT on the reverse data path, and doing
    DNAT will add SNAT on the “way back”, so the difference is only in how the
    initial connection setup is handled."

    Guess thats the relevant bit from that document.

    Ta.
    
				                    
    
                
    
            
    
        	
    

		
		
		
		
	
    
	
    
		
    
			
		
    
	
    
	
    
		
						
				
				
				
				
				
		
		
    
			
		
    
	
    

    

    • 





Children
	
No Data


		
			








































			






















Unfiltered HTML