Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 6583 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Proxy ARP - proper setup?

Comnet
I am needing to setup an ASL5 box as something of a transparent firewall.  I have video conferencing equipment that resides behind it, and a group of non host-routed public IPs.  Basically I would like to snip any incoming traffic to SQL and NETBIOS ports on a couple of the servers, and pass everything else.  Due to H.323 inherent issues, I can't really NAT the incoming connections.  I have placed one of the public IPs on the External interface, enabled proxy ARP on that interface, placed a private IP on the internal interface, and then assigned the rest of the public IPs to the boxes that sit directly behind the firewall.  To my understanding, the external interface should answer arp requests for the IPs sitting directly behind it, but I can not for the life of me get any traffic to/from those machines behind the firewall.  Is there something I am doing incorrectly on the internal interface?  All my research on proxy arp has suggested that the IP of the internal interface is not important (although when I assigned it the same IP as the external interface, I got major weirdness. heh.).  Can anybody point me to where I am going wrong with this setup?  Does proxy ARP work currently on ASL 5?  Thanks in advance!


This thread was automatically locked due to age.
Parents
  • 0
    Do I get you right: the servers for H.323 sit behind ASL and have an ip address that resides on the external interface subnet?
    If so this will not work even with proxy arp - you have to redesign your network layout (split) so part of your official network will reside behind ASL and one part in front - then you will not need to use NAT - proxy arp does not replace NAT.

    techno.kid
Reply
  • 0
    Do I get you right: the servers for H.323 sit behind ASL and have an ip address that resides on the external interface subnet?
    If so this will not work even with proxy arp - you have to redesign your network layout (split) so part of your official network will reside behind ASL and one part in front - then you will not need to use NAT - proxy arp does not replace NAT.

    techno.kid
Children
  • 0 in reply to techno.kid
    all proxy arp does is allow a firewall to reposond with a mac address when a device (typcailly in this case your router of cable modem) asks who has an ip address.

    Astaro will do all of this for you.

    If you want to give your internal router a public address then all you need is to make sure astaro knos how to route and create a firewall hole.

    If you want to use a private ip address then you need to to forward some ports or ip address using astaro and the firewall hole.

    proxy arp is something that gets done for you in 9 out of ten cases unless you are doing somehting on a checkpoint firewall running NT with an old feature pack. lol which you are not lol

    so basically you are making this to complicated for yourself
  • 0 in reply to techno.kid
    [ QUOTE ]
    Do I get you right: the servers for H.323 sit behind ASL and have an ip address that resides on the external interface subnet?
    If so this will not work even with proxy arp - you have to redesign your network layout (split) so part of your official network will reside behind ASL and one part in front - then you will not need to use NAT - proxy arp does not replace NAT.

    techno.kid 

    [/ QUOTE ]

    I am not using NAT.  

    Proxy ARP is supposed to be the answer for this exact situation.  Devices behind the external interface with IPs on the same network.  The external interface answers arp requests on behalf of the devices behind it, so that the external interface "attracts" traffic destined for those machines.  I need to figure out how to get the traffic to them.   
  • 0 in reply to PenTest


    Astaro   (1.1.1.1) External
           |      (2.2.2.2) Internal
         _____|_____
                 |                   |
                 |                   |
               BOX1         BOX2
            (1.1.1.2)    (1.1.1.3)


    External interface has proxy ARP enabled.  I have a block of IPs, but need to 
    filter traffic to boxes 1 and 2, without NATing any of the traffic.  The way I understand this to work, is that proxy ARP will answer ARP requests for machines directly off one of its interfaces (internal), and that the IP for the internal interface is not important.  Again, I do not want to NAT any of this traffic, so port forwarding is not going to be an option.  Are there additional static routes I need to add to get this traffic moving from the external interface to the internal? I guess I will try that next and see what I come up with.
  • 0 in reply to Comnet
    Proxy ARP is NOT capable of what you are expecting!

    If you do NOT want to use NAT you have to redesign your network topology regarding your official ISP network.

    Question: how do you think will ASL be able to know about Box1? Right, by ip address - but which ip address will you assign to Box1? No, not 1.1.1.2 - because 1.1.1.2 is part of network 1.1.1.0/24 and resides IN FRONT of ASL!

    Routing: will NOT work if you use the same network on TWO interfaces... sorry, no chance...

    techno.kid
  • 0 in reply to techno.kid
    I guess I should have known this already.  I greatly appreciate everyone's help is pointing me in the right direction! Thanks!
  • 0 in reply to Comnet
    I'm new to astaro,  be I'm experienced with linux firewalls...  I'm not sure if astaro will let you use proxy arp like this, but I know linux w/ netfilter and ip route 2 will. Proxy arp allows you to have external ips behind a firewall, you just have to add a route on the firewall. I have a couple of leaf firewalls doing this exact thing.  
     
    --------(ext ip)Firewall(int ip)--------server(ext ip)
                   |_______________server2(ext ip)

    you could use an ext ip instead of a int ip on second ethernet port of the firewall, but it is wastefull.....

    -woolbeo