Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 5201 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

access public IP from internal network.

Chad
I hare read all the posts on this subject, and none of them have any good answers. 

How do you access services via your public addresses from your internal network.  Most of the answers require you to modify your SNAT/DNAT rules.  But that causes all of your logs to come from your public address (unacceptable).

I have an FTP server using FTP/SSL which requires the public address to work (other wise it sends the private address).  If I update the server with the public address in the FTP Software, the suers from the outside can get in, but I cannot from the inside.

Please advice.  Thanks in advance.
Chad


This thread was automatically locked due to age.
Parents
  • 0
    If your Internet provider allows you to use more than one IP address, then a good workaround is to use one public address for presenting your DMZ based server, and the other public address to masquerade your Internal network where the workstations are. Then you will be able to access the servers from the workstations using their public IP address or domain name.

    For more info, read my memos in this thread:

    https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/21576
  • 0 in reply to VelvetFog
    i don't understand what rule (missing routing compenent) keeps me from doing an ftp or http request to one of my public addresses.  it works with private addresses, and if i'm on another lan...  but not if i'm on my own lan

    I already have a private LAN and a DMZ with astaro. LAN has 192.168.1.X and the DMZ is 192.168.250.X. I have 5 puplic (non DHCP) addresses provided to my by ISP. I ahve all 5 addresses bound to the externalNIC on ASL.
  • 0 in reply to Chad
    With several public addresses on your External interface, I assume you are using them for different purposes. One to masquerade the Internal network behind, and one or more others to individually NAT your DMZ based public servers behind.

    With that many public IP addresses available, I would be tempted to connect the public servers, the External interface on the ASL box, and the broadband modem all to an Ethernet switch, effectively moving the publicly accessible servers out from behind the ASL box. Then your problem would go away altogether.
  • 0 in reply to Chad
    Using MASQ for your servers as well as for your internal workstations will prevent the address translation. This to due to the defaults of the MASQ rules, ie dont translate internal addresses. (dont quote me on this)

    Either add a MASQ rule to always translate or try to use SNAT instead of MASQ for the DMZ service.
  • 0 in reply to AJo
    you have three nics?
    which netmask-configuration?
    like
    eth0: a.b.c.d/255.255.255.0 default gateway xxx
    eth1: 192.168.1.250/255.255.255.0
    eth2: 192.168.250.250/255.255.255.0
    aliases on eth0 with netmask 32 ???
    masqerading eth1-network on a.b.c.d
    ---> gives you only a.b.c.d in logfiles ??? hmmmm
    additional DNAT-rules?
    from: 192.168.1.0 to: ServerIP / FTP change source no change Destination InternalServerIP
    ...
    something like that?

    good luck!
Reply
  • 0 in reply to AJo
    you have three nics?
    which netmask-configuration?
    like
    eth0: a.b.c.d/255.255.255.0 default gateway xxx
    eth1: 192.168.1.250/255.255.255.0
    eth2: 192.168.250.250/255.255.255.0
    aliases on eth0 with netmask 32 ???
    masqerading eth1-network on a.b.c.d
    ---> gives you only a.b.c.d in logfiles ??? hmmmm
    additional DNAT-rules?
    from: 192.168.1.0 to: ServerIP / FTP change source no change Destination InternalServerIP
    ...
    something like that?

    good luck!
Children
No Data