Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 2 subscribers
  • Views 1718 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Routing two IP addresses of different networks to one dmz ip

Jens Hauser
Hi,

I'm not sure if it's the right place for my question!?

We are running an ASL to secure a DMZ and an internal LAN. Within the DMZ we normally have three web-/ mailservers running. Because of trouble with our leased line provider we had to colocate those servers to another ISP. At the ISPs place we have IP number say 1.2.3.4 for one of the servers. 

This server server should now be taken back to our DMZ to be accessed by IP number 5.6.7.8 AND by IP number 1.2.3.4 as long as the nameserver entries are mixed up between 1.2.3.4 and 5.6.7.8 for the same server (it will take about 1-7 days for a DNS change ...).

I know how to setup natting to provide DMZ ip number 192.168.100.8 for IP number 5.6.7.8 .

My question is: How can I route also IP number 1.2.3.4 to IP number 5.6.7.8 (or to 192.168.100.8)? Do I have to setup another ASL at the ISPs colocation place? Or is a normal Linux box suitable?

Hopefully I explained my question the right way... B-)

Best regards,
Jens Hauser


This thread was automatically locked due to age.
  • 0
    hi jens,

    this is really heavy stuff - you'll need a very cooperative ISP to get this running (if possible at all - maybe i miss something):

    your new ISP has to setup proxy arp on his router to claim the IP 1.2.3.4 to be located on the router. the router must have a host route, which routes IP 1.2.3.4 to the IP of your external ASL interface. on ASL you have to create a virtual IF on the external IF, with IP 1.2.3.4. Then you can DNAT service HTTP, SMTP, whatsoever to your server in the DMZ.
    if you don't want to use DNAT and the IP 5.6.7.8 is routed directly in the internet, you can also create the host route on the router to route 1.2.3.4 via 5.6.7.8 and add 1.2.3.4 as VIP on your server.

    really hard stuff, and maybe this won't work in your specific setup. we did this in our company some months ago - it worked, but we had direct access to both routers, firewalls, ...  :-)

    good luck - i hope it was understandable,
    michael

    [ 07 March 2002: Message edited by: Michael Ziegler ]

Unfiltered HTML