Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 2712 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

LAN access to dirty IP

sazma
I know this question gets asked a lot, but I can't seem to get it working and I'm going crazy.

I have ASL 3.218 and the following definitions:

internal lan (192.168.44.0/24) defined as LAN
external IP defined as dirty_interface__
internal web/mail/ssh/whatever server defined as 'dignan'

I've got masquerading working and port forwarding working just fine. However, I'm not able to hit my name-based apache sites w/o having internal views for all of my DNS that map the names of my sites to the internal IP if I'm doing the lookup from LAN.

I'd really like to just be able to hit the external IP from LAN. 

I've set up a NAT rule:
LAN->dirty_interface__/Any none dignan

I've set up a Packet Filter rule: 
LAN Any Any Allow

As well as Packet Filter rules for every service I run on 'dignan' allowing from Any.

If I turn OFF Masquerading, it works! 

Any help appreciated. Thanks.  


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to sazma
    Anyone? Even knowing that this is only possible under 4.0 or that it's possible in 3.0.18 would be something. [:)] 
  • 0 in reply to sazma
    From what I know about the Linux kernal and Masq'ing (NAT), this cannot be done.  I know with other firewall vendors (Cisco, Checkpoint, etc.) they impliment a proprietary mechinisim to achieve this functionality.

    Just so I understand, you want to be able to connect to your web server via HTTP by resolving the DNS name to a Public IP address, and then connecting to that Public IP address so you don't have to manage two seperate DNS zones that would be identical (one public and the other private).  
  • 0 in reply to Chris Lynch
    You understand my intentions. 

    I know it can be done as of IP Tables. IP Chains could not do this, but IP Tables can. 

    I'm a little bummed at the lack of response here.... I'm tempted to switch to m0n0wall. 
  • 0 in reply to sazma
    Ok, I was just able to successfully do what you are attempting to do.  In your RULE for the allowed connection, what is the destination?  The NAT IP or the the server's REAL IP in the DMZ?