Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 2632 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Firewall access puzzler

Doug Brown
I have ASL on a box with 3 NICs: 2 with outside IP addresses and 1 to the internal network. One of the external addresses port-forwards HTTP requests to a server on the internal LAN. All is well there. The internal LAN has a MASQ set, and all activity to the Internet is just fine.

However, if the computers on the internal LAN attempt to access the Web address being hosted behind ASL, the site cannot be accessed. It successfully pings, but HTTP fails.

The MASQ and HTTP NAT both map through the same external interface, and that interface is the preferred gateway.

Any hints are most appreciated.

Doug Brown
dougb@finitemonkey.com


This thread was automatically locked due to age.
Parents
  • 0
    why wouldn't users on the LAN use the IP address? Your masquarading rule and DNAT rule interfere in this case.
  • 0 in reply to Andy_01
    I figured the rules were conflicting. What is the way around that? There are reasons to be able to access my own domain by name from within the LAN, after all. When an off-site user brings their laptop in and still wants to get at their e-mail without changing all their settings, just as a "for instance".

    Thanks,
    Doug Brown
    dougb@finitemonkey.com
  • 0 in reply to Doug Brown
    If you have an internal DNS server this should be easy to setup.
  • 0 in reply to Andy_01
    My DNS server for the domain is kept behind the ASL and port-forwarded. So that doesn't really help unfortunately, because it is therefore the same DNS used by the internal LAN.

    BTW, while I understand that the rules are causing the problem, I do still find it odd that I can successfully ping the server by fully-qualified URL.

    Thanks,
    Doug Brown
    dougb@finitemonkey.com
  • 0 in reply to Doug Brown
    I'm not sure but I guess all you really ping is the external interface, try tracert and you will see...
  • 0 in reply to Andy_01
    Hmmm...shouldn't the tracert only show my outside IP anyway?

    I really like ASL, but this one seems so simple. My old (as in "one of their first") Linksys Router/Firewall was able to configure to a setup like this without any trouble. But ASL has much better reporting, filtering, etc. This is a bit of an annoyance though, so I was hoping there was some workaround.

    Thanks,
    Doug Brown
    dougb@finitemonkey.com
  • 0 in reply to Doug Brown
    you are right about the tracert...
  • 0 in reply to Andy_01
    The cleanest way I know is to have a dummy DNS that inside users access that point internal servers to the actual internal IP addresses.  You need your domain hosted on two servers so external users get the routable IP and internal users get the internal IP.  If you can't set-up two DNS servers inside then host the domain on an outside server and don't do DNS NAT for that domain.

    ASL can do the same DNS tricks your SOHO router did.  You are able to ping since you are hitting the external IP and not the NAT rule.

    I think you can also create an SNAT rule to capture requests bound for the external IP and bounce them back properly.
  • 0 in reply to pablito
    I'll look into the SNAT. I figured that ASL should be able to do what my SOHO did, but the documentation isn't always the most illustrative.

    Thanks,
    Doug Brown
    dougb@finitemonkey.com
Reply Children