Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 6583 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Proxy ARP - proper setup?

Comnet
I am needing to setup an ASL5 box as something of a transparent firewall.  I have video conferencing equipment that resides behind it, and a group of non host-routed public IPs.  Basically I would like to snip any incoming traffic to SQL and NETBIOS ports on a couple of the servers, and pass everything else.  Due to H.323 inherent issues, I can't really NAT the incoming connections.  I have placed one of the public IPs on the External interface, enabled proxy ARP on that interface, placed a private IP on the internal interface, and then assigned the rest of the public IPs to the boxes that sit directly behind the firewall.  To my understanding, the external interface should answer arp requests for the IPs sitting directly behind it, but I can not for the life of me get any traffic to/from those machines behind the firewall.  Is there something I am doing incorrectly on the internal interface?  All my research on proxy arp has suggested that the IP of the internal interface is not important (although when I assigned it the same IP as the external interface, I got major weirdness. heh.).  Can anybody point me to where I am going wrong with this setup?  Does proxy ARP work currently on ASL 5?  Thanks in advance!


This thread was automatically locked due to age.
Parents
  • 0
    Do I get you right: the servers for H.323 sit behind ASL and have an ip address that resides on the external interface subnet?
    If so this will not work even with proxy arp - you have to redesign your network layout (split) so part of your official network will reside behind ASL and one part in front - then you will not need to use NAT - proxy arp does not replace NAT.

    techno.kid
  • 0 in reply to techno.kid
    [ QUOTE ]
    Do I get you right: the servers for H.323 sit behind ASL and have an ip address that resides on the external interface subnet?
    If so this will not work even with proxy arp - you have to redesign your network layout (split) so part of your official network will reside behind ASL and one part in front - then you will not need to use NAT - proxy arp does not replace NAT.

    techno.kid 

    [/ QUOTE ]

    I am not using NAT.  

    Proxy ARP is supposed to be the answer for this exact situation.  Devices behind the external interface with IPs on the same network.  The external interface answers arp requests on behalf of the devices behind it, so that the external interface "attracts" traffic destined for those machines.  I need to figure out how to get the traffic to them.   
Reply
  • 0 in reply to techno.kid
    [ QUOTE ]
    Do I get you right: the servers for H.323 sit behind ASL and have an ip address that resides on the external interface subnet?
    If so this will not work even with proxy arp - you have to redesign your network layout (split) so part of your official network will reside behind ASL and one part in front - then you will not need to use NAT - proxy arp does not replace NAT.

    techno.kid 

    [/ QUOTE ]

    I am not using NAT.  

    Proxy ARP is supposed to be the answer for this exact situation.  Devices behind the external interface with IPs on the same network.  The external interface answers arp requests on behalf of the devices behind it, so that the external interface "attracts" traffic destined for those machines.  I need to figure out how to get the traffic to them.   
Children
No Data