Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 5741 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Routing a real IP behind the Firewall

phlod
I'm not sure right now if it's my brain that's refusing to wrap itself around this problem, or if my understanding of ow this works is wrong, but long and short  if it is I just can't get this to work.  Anyway, here's the issue.  ASL is up and working beautifully as the firewall I've always wanted, but I have a mail server that actually has a real IP, and I really need to keep the IP if at all possible.  However, so far I haven't been able to make this work.
I've tried setting up a static route for it, but that just made my whole network lose connectivity.
Basically, all I want to do is be able to send and receive my mail at the real static IP, but still have it behind the firewall.  Is this possible?  Am I overthinking this?  I'm currently assuming that you can't simply stick it behind the FW with a routable IP and hope it all works.  Please help.  My brain is fried right now after trying to get this to work all day.  Thank you all in advance.

--Phlod  


This thread was automatically locked due to age.
Parents
  • 0
    If your mail server is now inside the ASL firewall on the Internal network, then it has to have an IP address that is within the network range defined on your Internal net. Typically, this would be a 192.168.nn.0 network, in compliance with Internet RFC 1918.

    Your mail server would also need its default gateway set to point to the Internal interface on the ASL box.

    On the ASL box, you create a SNAT mapping that maps the relevant port(s) from the External interface in to the 192.168.nn.xx IP address of the mail server. This makes the mail server visible at the External interface, which has a real IP address.

    You then make sure that your packet filter rules allow the mail traffic through.    
  • 0 in reply to VelvetFog
    You are endlessly helpful.  Thank you very much.  One last question to make this complete, (hopefully) can I bind 2 IPs to 1 interface in ASL?  I didn't see an obvious way to do that.
    Wait, nevermind that last question. I figured that out.  Man.  Something must be wrong with my brain today...Bed will make it all go away.  [;)]

    Thank you once again.

    Phlod  
  • 0 in reply to phlod
    Webadmin --> Network --> Interfaces --> New --> Hardware:  [select eth0] --> Type:  [Additional address on ethernet interface] 

    Then you can enter the  IP address, netmask and default gateway in the fields that appear. For an address on the internal interface, you would leave the Default gateway field blank.

    On your Internal network(s), use any free address local to that subnet, and save it as an additional IP address. I use xx.xx.xx.1 as router address on local LANS, but then use xx.xx.xx.6 as the proxy address for using SQUID and the mail proxies. This also allows me to use the ASL box to present more than one web server,  each serving on default port 80, to the internal net, by using SNAT rules to map them to the individual IP addresses.    
  • 0 in reply to VelvetFog
    VelvetFog, dont you mean DNAT for forwarding incoming packets to the mailserver? You would use SNAT if you're not using MASQ for outbound traffic from the mailserver. You would SNAT the mail servers actual internal address to be the external (public ) IP of the firewall so that return traffic would be routed back to your public IP. 
  • 0 in reply to JimmyM
    I'm very interested in this thread.

    To solve the first question, would be possible to have the two interfaces of ASL on the same network, route all the incoming traffic to the ASL box (so traffic goes through the firewall), set the default gw of the SMTP machine to the ASL box and have this work without changing the IP of the SMTP host?

    Thanks in advance.  
Reply
  • 0 in reply to JimmyM
    I'm very interested in this thread.

    To solve the first question, would be possible to have the two interfaces of ASL on the same network, route all the incoming traffic to the ASL box (so traffic goes through the firewall), set the default gw of the SMTP machine to the ASL box and have this work without changing the IP of the SMTP host?

    Thanks in advance.  
Children
  • 0 in reply to Marc_Gibert
    [ QUOTE ]
    To solve the first question, would be possible to have the two interfaces of ASL on the same network, route all the incoming traffic to the ASL box (so traffic goes through the firewall), set the default gw of the SMTP machine to the ASL box and have this work without changing the IP of the SMTP host? 

    [/ QUOTE ]

    If you have two  ASL interfaces on the same internal network, they must both belong to the address range defined for that net. It is probably a quite pointless thing to do, since ASL allows you to bind additional IP addresses to a single Ethernet card. Such additional addresses will also have to be within the range defined by the local network number.

    As for not changing addresses on your mail host, if it is moved from being on an external, real world IP address to  being in behind an ASL firewall on a private address range, then you do have to change the IP address on it.

    If you use the ASL SMTP proxy, then you should create a new "MX" mailer record in your DNS server using the external IP address of the ASL box, and give this new MX record higher priority (lower number) than the old MX record. That way all incoming mail will go through the proxy. Then you set the SMTP proxy to forward the mail to your mail server.