Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 5741 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Routing a real IP behind the Firewall

phlod
I'm not sure right now if it's my brain that's refusing to wrap itself around this problem, or if my understanding of ow this works is wrong, but long and short  if it is I just can't get this to work.  Anyway, here's the issue.  ASL is up and working beautifully as the firewall I've always wanted, but I have a mail server that actually has a real IP, and I really need to keep the IP if at all possible.  However, so far I haven't been able to make this work.
I've tried setting up a static route for it, but that just made my whole network lose connectivity.
Basically, all I want to do is be able to send and receive my mail at the real static IP, but still have it behind the firewall.  Is this possible?  Am I overthinking this?  I'm currently assuming that you can't simply stick it behind the FW with a routable IP and hope it all works.  Please help.  My brain is fried right now after trying to get this to work all day.  Thank you all in advance.

--Phlod  


This thread was automatically locked due to age.
Parents
  • 0
    If your mail server is now inside the ASL firewall on the Internal network, then it has to have an IP address that is within the network range defined on your Internal net. Typically, this would be a 192.168.nn.0 network, in compliance with Internet RFC 1918.

    Your mail server would also need its default gateway set to point to the Internal interface on the ASL box.

    On the ASL box, you create a SNAT mapping that maps the relevant port(s) from the External interface in to the 192.168.nn.xx IP address of the mail server. This makes the mail server visible at the External interface, which has a real IP address.

    You then make sure that your packet filter rules allow the mail traffic through.    
  • 0 in reply to VelvetFog
    You are endlessly helpful.  Thank you very much.  One last question to make this complete, (hopefully) can I bind 2 IPs to 1 interface in ASL?  I didn't see an obvious way to do that.
    Wait, nevermind that last question. I figured that out.  Man.  Something must be wrong with my brain today...Bed will make it all go away.  [;)]

    Thank you once again.

    Phlod  
  • 0 in reply to phlod
    Webadmin --> Network --> Interfaces --> New --> Hardware:  [select eth0] --> Type:  [Additional address on ethernet interface] 

    Then you can enter the  IP address, netmask and default gateway in the fields that appear. For an address on the internal interface, you would leave the Default gateway field blank.

    On your Internal network(s), use any free address local to that subnet, and save it as an additional IP address. I use xx.xx.xx.1 as router address on local LANS, but then use xx.xx.xx.6 as the proxy address for using SQUID and the mail proxies. This also allows me to use the ASL box to present more than one web server,  each serving on default port 80, to the internal net, by using SNAT rules to map them to the individual IP addresses.    
  • 0 in reply to VelvetFog
    VelvetFog, dont you mean DNAT for forwarding incoming packets to the mailserver? You would use SNAT if you're not using MASQ for outbound traffic from the mailserver. You would SNAT the mail servers actual internal address to be the external (public ) IP of the firewall so that return traffic would be routed back to your public IP. 
  • 0 in reply to JimmyM
    I'm very interested in this thread.

    To solve the first question, would be possible to have the two interfaces of ASL on the same network, route all the incoming traffic to the ASL box (so traffic goes through the firewall), set the default gw of the SMTP machine to the ASL box and have this work without changing the IP of the SMTP host?

    Thanks in advance.  
  • 0 in reply to JimmyM
    Ah, you have such serious semantic concerns.

    It is a good thing that ASL v4 just has a single  DNAT/SNAT combined choice on the drop-down pick list when we go to actually configure these things, that way we don't have to worry about it.       [:)]

    I use the term SNAT, since configuring a Static route through the NAT routing is what it is all about.  
Reply
  • 0 in reply to JimmyM
    Ah, you have such serious semantic concerns.

    It is a good thing that ASL v4 just has a single  DNAT/SNAT combined choice on the drop-down pick list when we go to actually configure these things, that way we don't have to worry about it.       [:)]

    I use the term SNAT, since configuring a Static route through the NAT routing is what it is all about.  
Children
No Data