Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 1474 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNAT PROBLEM URGENT !!!

ascalon
Hello ALL,

   We have an important problem with DNAT in ASL machine.

   I would like to put a web server in Internet. 

   I have defined the networks:

   web-ext 10.10.10.1 255.255.255.255
   web-int 10.10.11.1 255.255.255.255

    I have added DNAT: web-ext HTTP web-int http

   I Have added Packet Rule:
   ANY HHTP web-int Allow.

   I am using ASL 2.0.16 available in the web.

Thanks in Advance


This thread was automatically locked due to age.
  • 0
    hello

    do you have a static ip-adress from your provider?
    i think 10.10. are private areas, so you cannot use them outside.
    with static ip outside it is like

    Interfaces:
    outer interface: xxx.yyy.zzz.aaa, 255.255.255.0
    outer interface alias: xxx.yyy.zzz.bbb (if you have more ip's)
    inner interface: 10.10.11.250, 255.255.255.0

    networks:
    web_ext. xxx.yyy.zzz.aaa, 32 (or 255.255.255.255)
    web_int. 10.10.11.1, 32

    DNAT:
    from:any to:web_ext service:http ch_src:no ch_dest: web_int
    from:web_int to:any service:any ch_src:web_ext
    in asl 3.040 you had to setup dnat rules for each service you want to allow, any just didn't work.
    I don't know if they changed that for 3.050.

    filter:
    from:any  to:web_int  service:http  allow

    your webserver_machine:
    ip: 10.10.11.1, default-gateway: 10.10.11.250

    if you don't have static ip, look out for ip by dhcp on outer interface.
    but i didn't try to make dnat with that.
  • 0 in reply to Chris_W
    Hi,

       All the traffic will be in my internal network. Can you say me where can i found the 3.40 astaro version?.

    Thanks.
  • 0 in reply to ascalon
    Remember you can't use the proxy server to access servers that are dnatted from clients inside the firewall.

    You have to use the internal address of the server to access the server inside the firewall. DNAT is only for people outside the firewall.
  • 0 in reply to Biffa
    hä?
    if everything is internal, what do you need the firewall for???
  • 0 in reply to Chris_W
    hm,
    am i right?
    you want to connect your machines internal, but you are not connected to internet.
    you want one machine to be a http-server for all these machines.
    this server shall be protected by firewall?

    if so, you can use any network numbers of course, better from "private" areas (like you did)

    further on if so:
    - you don't need any default gateway defined on asl, because it's only connected to 2 networks.
    - you need the asl box,
    -- eth0 (internal) 10.10.10.250, 255.255.255.0
    -- eth1 (to webserver) 10.10.11.250, 255.255.255.0
    -- network internal 10.10.10.0, 255.255.255.0
    -- network web_int 10.10.11.1, 255.255.255.255
    -- packet rule internal//web_int//http//allow

    web server:
    -ip: 10.10.11.1, def gateway 10.10.11.250

    internal pc:
    -ip: 10.10.10.x, def gateway 10.10.10.250

    so http://10.10.11.1 should find its way (as i think)

    if you want to use dnat, you can try like this:

    asl-box: as above, additional
    --eth0 ip-alias 10.10.10.1, 255.255.255.255
    --network web_ext 10.10.10.1, 255.255.255.255
    --dnat webin
        from:any to:web_ext service:http: chg-src:no chg_dest:web_int chg_service:no
    --dnat webout
        from web_int to:any service:any: chg-src:web_ext cht_service:no

    so your internal pc (or workstations) don't need a defaultgateway, but reach the server as 10.10.10.1
    (of course no pc is allowed to use 10.10.10.1 then ;-)

    does this help?
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML