Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 1880 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Multiple http servers behind ASL

ljorg
How am I supposed to redirect web traffic to a number of servers on the internal network?

I create interface aliases on the outside interface and then I create hosts on the internal network (a "host" is in this case a network with a subnet of 255.255.255.255). Then I set up af SNAT/DNAT rule to pass traffic from the outside interface alias to the inside host.

Is this the right way to do it? Is there another way to do this?

It seems there's a performance issue with this configuration. When traffic hits about 10Mbps, the ASL gobbles all available CPU and becomes completely inoperable. As long as load is low (currently at 1.2 Mbps), there are no problems.


This thread was automatically locked due to age.
Parents
  • 0
    That's the way to set it up, don't forget the packet filter rule of course, but sounds like you have it in there. 

    You performance problem sounds a bit strange, since ASL normally is very good with performance, i could imagine it's the NICs causing a lot of interrupts if there is a lot of traffic and taking the CPU down. You can avoid that with better HW like 3COM NICs.
  • 0 in reply to Andy_01
    I am not sure but wouldn't using host headers do the same thing running on one box with out the perfomence hit?
     
     [size="1"][ 15 October 2002, 13:35: Message edited by: kswain ][/size]
  • 0 in reply to kswain
    Originally posted by kswain:
    I am not sure but wouldn't using host headers do the same thing running on one box with out the perfomence hit?
    Host headers would not give the poster what he wants.  He wants multiple indivdual web servers behind the firewall.  Not multiple websites, hosted on one web server.
  • 0 in reply to tank
    O.k. -- here's what I don't understand... 

    without setting up a DMZ, if I have multiple web servers behind the firewall, how do I set up ASL so that the firewall can accept and forward requests for multiple IP addresses. When I try to create aliases, I get an error saying that all aliases must be names, not numbers. 

    Help!
  • 0 in reply to Chris Lehmann
    Originally posted by Chris Lehmann:
    O.k. -- here's what I don't understand... 

    without setting up a DMZ, if I have multiple web servers behind the firewall, how do I set up ASL so that the firewall can accept and forward requests for multiple IP addresses. When I try to create aliases, I get an error saying that all aliases must be names, not numbers. 

    Help!
    First you must have more than one IP address assigned to your network by your ISP or the aliases will not work.

    e.g. 123.456.789.09 - 13

    1. Create Aliases on the external interface of the firewall in "Network -> Interfaces"

    e.g. If external interface is called "Red" on IP 123.456.789.10 then create an alias called "Red_11" on the same network card and give it the IP e.g. 123.456.789.11
    don't define a gateway.

    2. Define the web server in "Definitions -> Networks" e.g. Web1 on IP 192.168.5.1 Netmask 32

    3. Create a DNAT rule in "Network - Nat/Masqerading" as follows:

    Name: WEB1_HTTP_In
    Rule Type: DNAT/SNAT
    Source Addr: Any
    Dest Addr: Red_11_Interface
    Service: HTTP
    Change Source To: No Change
    Change destination To: Web1
    Service destination: No Change

    4. Define a packet filter to allow HTTP Traffic to the web server. Go to "Packet Filter -> Rules"
    Add rule: 
    From: Any
    Service: HTTP
    To: Web1
    Action: Allow

    Click Add.

    Remember won't be able to access the web server from inside the firewall by a domain name assigned to the external interface of the firewall. Test from outside using another ISP or someone else on dialup or something.
Reply
  • 0 in reply to Chris Lehmann
    Originally posted by Chris Lehmann:
    O.k. -- here's what I don't understand... 

    without setting up a DMZ, if I have multiple web servers behind the firewall, how do I set up ASL so that the firewall can accept and forward requests for multiple IP addresses. When I try to create aliases, I get an error saying that all aliases must be names, not numbers. 

    Help!
    First you must have more than one IP address assigned to your network by your ISP or the aliases will not work.

    e.g. 123.456.789.09 - 13

    1. Create Aliases on the external interface of the firewall in "Network -> Interfaces"

    e.g. If external interface is called "Red" on IP 123.456.789.10 then create an alias called "Red_11" on the same network card and give it the IP e.g. 123.456.789.11
    don't define a gateway.

    2. Define the web server in "Definitions -> Networks" e.g. Web1 on IP 192.168.5.1 Netmask 32

    3. Create a DNAT rule in "Network - Nat/Masqerading" as follows:

    Name: WEB1_HTTP_In
    Rule Type: DNAT/SNAT
    Source Addr: Any
    Dest Addr: Red_11_Interface
    Service: HTTP
    Change Source To: No Change
    Change destination To: Web1
    Service destination: No Change

    4. Define a packet filter to allow HTTP Traffic to the web server. Go to "Packet Filter -> Rules"
    Add rule: 
    From: Any
    Service: HTTP
    To: Web1
    Action: Allow

    Click Add.

    Remember won't be able to access the web server from inside the firewall by a domain name assigned to the external interface of the firewall. Test from outside using another ISP or someone else on dialup or something.
Children
No Data