Thread Info
  • State Not Answered
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 7 replies
  • Subscribers 3 subscribers
  • Views 1415 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Urgent, please help anyone

Spider
Hi guys,

I have our webbserver on DMZ, and when I try to browse the webserver with its alias address (external), doesn't work. From DMZ (webserver) I am able to browse other sites but not our external addresses configured on astaro. I other word I can't use external (aliases, interface) addresses from DMZ. Routing issue?!
Tanks,
Spider


This thread was automatically locked due to age.
Parents
  • 0 in reply to port80
    Hi,

    No problem from outside dmz, problem is just from dmz to reach its self trough external interface.

    /Spider
  • 0 in reply to Spider
    ...think about s/dnat once again ! 

    You are using masquerade and dnat -> Note: NAT rules are processed from the top (A) to the bottom (Z). If a packet matches a rule, it will not be processed by any of the following rules.
  • 0 in reply to Spider
    -what kind of webserver is it?
    -"From DMZ (webserver) I am able to browse other sites" do you configure a snat for this ..or do you use the proxy....
    ..btw. it's not realy secure if your webserver is able to open a connection outside by himself..normaly a webserver only response to a connection initialized by client browser outsite..
  • 0 in reply to port80
    Let's go step by step. What happens, if a packet is sent:

    1) packet ist sent by client
    2) is reaches the firewall
    3) firewall makes DNAT
    4) so the packet's destination IP will be changed to the webserver's address
    5) packet will reach the webserver.

    Now the webserver answers:
    1) webserver sends a packet. Source IP is the webserver's IP address. Destination is the client.
    2) the packet will reach the client directly without using the firewall. 
    PROBLEM: the client does not accept the packet, because it has the wrong Source address.
    Normally the firewall rewrites the packets back to the be correct. This does not happen, because the packet is sent directly back to the client.
    SOLUTION: Make sure the answert packet passes the firewall. This can be done by using SNAT: Change also the source of the packet to be the address of the firewall. To the answert packet will be sent to the firweall. Then the firewall takes care, ...

    Xeno
Reply
  • 0 in reply to port80
    Let's go step by step. What happens, if a packet is sent:

    1) packet ist sent by client
    2) is reaches the firewall
    3) firewall makes DNAT
    4) so the packet's destination IP will be changed to the webserver's address
    5) packet will reach the webserver.

    Now the webserver answers:
    1) webserver sends a packet. Source IP is the webserver's IP address. Destination is the client.
    2) the packet will reach the client directly without using the firewall. 
    PROBLEM: the client does not accept the packet, because it has the wrong Source address.
    Normally the firewall rewrites the packets back to the be correct. This does not happen, because the packet is sent directly back to the client.
    SOLUTION: Make sure the answert packet passes the firewall. This can be done by using SNAT: Change also the source of the packet to be the address of the firewall. To the answert packet will be sent to the firweall. Then the firewall takes care, ...

    Xeno
Children
  • 0 in reply to Xeno
    check your internal dns settings.
  • 0 in reply to Xeno
    First thx,

    I'm not really sure if this is the way it's should be done.
    DMZ network : 192.168.100.X
    Webserver: 192.168.100.1
    WAN network: 194.15.X.0
    Webserver alias: 194.15.X.130 (www.labb.net, exempel)

    What I am NOT able to do is that from DMZ network (192.168.100.1) to rach alias ip 194.15.X.130. Of course I can do  this with settings in hosts file. When not with external DNS servers, not even with ip address (194.15.X.130) I can't reach webserver.

    /spider