Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 2 subscribers
  • Views 2251 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Can't route to/from DMZ

Biffa
Taking it a step at a time:

Everything you have done so far is ok. Everything else is in the  Network -> NAT/MAsquerading section.

You need to masquerade your eth0 network to the external interface of the firewall. To allow traffic out other than http through the proxy.

You then need to define the internal servers in Definitions -> Networks then go back to the Masquerading menu and define a DNAT from Any External to the external interface through to the internal server in the DMZ.

Then setup a packet filter rule to allow Any on the service port required through to the defined server in the DMZ.

You will have trouble accessing servers in the DMZ by domain name unless you can map the domain name to the internal IP address of the server either using hosts files or running an internal DNS server with forward records for the domain that you control.


This thread was automatically locked due to age.
  • 0
    Sorry, I didn't mention all of my DNAT/SNAT settings.  I claim I have the correct settings as you describe. I DNAT the external IP to the internal ip of the webserver.  

    Also, I can get traffic to flow through if I not only DNAT but SNAT from internal, like:

    Source: internal_network__ --> DMZ_interface__
    Destination:no change, Service: no change

    I would just do this, but I want to be able to log which internal IP is going in to the dmz (as I have always done before).
  • 0
    I am trying to upgrade to ASL 3.2 from 2.0.  I can't seem to get the import to work, so I am trying to reconfigure by hand, from the 2.0 settings.

    I have the following setup:

    eth0: 192.168.1.254       nm 255.255.255.0          gw none (internal)
    eth1: 192.168.10.254      nm 255.255.255.0       gw none (DMZ)
    eth2: x.y.z.202           nm 255.255.248.0       gw x.y.z.201 (external)

    The x.y.z.201 is the address of the dsl router.

    The routing table is set up with default routes:
    x.y.z.200            0.0.0.0            eth2
    192.168.1.0          0.0.0.0            eth0
    192.168.10.0         0.0.0.0            eth1
    0.0.0.0              x.y.z.201          eth2

    I have the packet filter set to allow http traffic in to the DMZ from external, and from internal(192.168.1.0) to any, any

    The problem is I cannot seem to route any traffic from internal or external to the DMZ. I can see the outside world from internal through the http proxy, but the outside world cannot get in.

    One difference I see is that previously, proxy arp was set on both the internal and dmz interfaces, though from everything I read, this is not correct. Shouldn't it route correctly without proxy arp?