Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 1244 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Masquerading question...

joakim
hello

i have looked at the manual and searched the forum without success..

i have allowed all traffic from Internal to External.. (Works)

I have Allowed http from External to Internal. (works ).

But..  if i do a portscan on my external interface. ie. port 80 .. nothing, If i try a portscan on the internal webserver adress port 80.  adress 192.168.1.5 it shows up.!!

Is this the way it should be.. i mean am i realy supposed to be able to scan the ports on a internal server directly.?? I thougt that the NAT should "hide" the internal network?
i have this setup..

Internal(192.168.1.1)  -> NAT -> External(10.64.216.35)

i,m kinda new to this so i appreciate the help.

regards
joakim


This thread was automatically locked due to age.
Parents
  • 0
    To be able to portscan an internal server you must be portscanning it from the internal network on the same subnet yes?

    Masq only works when you try and go somewhere other than your internal network, so you can have MASQ on internal -> External, or on Internal -> DMZ, or combinations of the above.
  • 0 in reply to Biffa
    I understand.. but my problem is that i am able to portscan from External interface (internet) to the webserver on the internal network. 
    i also i can,t reach my website by typing the address of the external interface,, only if i type the address of the actual webserver i get to the page.. and thats not what i want..

    what could i have done wrong??

    thanx
    joakim
  • 0 in reply to joakim
    Hi, 
    I'm not sure if this is a bug in astaro design but normally you will never be able to get to your inside network from the internet. Why ?? because the internet will never route a packet with destination 192.168.xxx.xxx because this is a innhouse adress. Your external firewall interface probably knows that 192.168.xxx.xxx is routed to your internal interface. but when you pass your "external" router you will not find the way back to 192.168.xxx.xxx.
    I don't think that this is a security risk.
    Also your 10.64.216.35 is a innhouse adress as well. That means that your router also runs NAT/MASQ and none of the adress ranges you use will be seen/routed on the internet.

    Reserved innhouse adresses are;
    192.168.xxx.xxx (B class)
    10.xxx.xxx.xxx (A class)

    Rgds Espen
Reply
  • 0 in reply to joakim
    Hi, 
    I'm not sure if this is a bug in astaro design but normally you will never be able to get to your inside network from the internet. Why ?? because the internet will never route a packet with destination 192.168.xxx.xxx because this is a innhouse adress. Your external firewall interface probably knows that 192.168.xxx.xxx is routed to your internal interface. but when you pass your "external" router you will not find the way back to 192.168.xxx.xxx.
    I don't think that this is a security risk.
    Also your 10.64.216.35 is a innhouse adress as well. That means that your router also runs NAT/MASQ and none of the adress ranges you use will be seen/routed on the internet.

    Reserved innhouse adresses are;
    192.168.xxx.xxx (B class)
    10.xxx.xxx.xxx (A class)

    Rgds Espen
Children
  • 0 in reply to Espen
    hi,
    has proxy-arp something to do with it?
    so asl maybe remembers the private adress on the outside interface, if proxy-arp enabled?

    just some kind of idea while trying to install asl, too

    kind regards, Christian
  • 0 in reply to Chris_W
    ahhh  It works!! :-))

    mm ok ,first. the external interface is of course not internet. It is just my testing enviorment.

    And for the portscan.. i had added a route on the machine on the "internet" side to the internal network. and being directly connected to the firewall it was routed straight through :-)

    well that wont work on the internet of course. Me = stupid :-)
     and the whole thing was fixed by adding DNAT .. ahh sweet music it works!!. 
    Thanx Alot for the help.

    regards
    joakim
Unfiltered HTML