Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 2 subscribers
  • Views 120591 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Problems with port 80

jtittler
I'm having a hell of a time getting my web server to show to the outside world. I have set up a static IP for my web server. I have created a host definition for the server. I have defined the following DNAT:

DNAT
DNAT/SNAT   Any->External (address)->HTTP  No change to source. Change destination to  Service destination - No Change

I have the following packet filter rules set up:
    Internal Network->Any->Internal (network)->Allow
  • DMZ->Any->Internal (Network)->Drop
  • Internal (Network)->DNS->Any->Allow
  • Internal (Network)->Any->Any->Allow
  • Any->HTTP->External (Address)->Allow
  • Any->RTP->Vonage_WAN->Allow


That's as per the various white papers and docs that I could find, and the various posts in the forums. Yet, port 80 still shows as blocked if I do a port scan from outside. I said, "OK, maybe Verizon is blocking port 80". So I did the same exercise with some other random port, like 82. No dice. Same problem.

The web server is not on the DMZ. It will be, but for the moment it's just on the internal network. I must mention that I am not a network engineer. I'm a software engineer mom who works from home. I've started doing some web app development for work, so I need to expose not just one web server, but 2. I know they'll need to go on different ports 80 and 8080? I don't know what else to try. I also tried runnig IIMS on a different machine on the network to make sure it wasn't some strange security setting on the machine I was using, but that didn't help.

STATS:
Astaro v6.303
Web server is Windows XP
Verizon FiOS internet connection. I am NOT using their router because the firewall sux. [:)]

I'm not sure what else you need to know. Thanks for the help. This sleep deprived mom is too pooped to ponder this one on her own anymore.

Thanks much,
Julie


This thread was automatically locked due to age.
Parents
  • 0
    Julie,
    I think the problem is with your DNAT/SNAT rule, it doesn't seem to allow any traffic in to the server. I think there should be something about the internal interface.

    Ian M[[[:)]]][[[:)]]][[[:)]]]
  • 0 in reply to RFCat_vk_01
    I think the problem is with your DNAT/SNAT rule, it doesn't seem to allow any traffic in to the server. I think there should be something about the internal interface.


    My DNAT/SNAT rule is straight out of the web server how to white paper.
    Source = Any
    Service = HTTP
    Destination = External (address)
    Source change = 
    Destination change = web_server (Host definition done in definitions)
    Service change = 

    I followed the white paper for setting up the server. The only difference is that it's on my internal network not on a DMZ. Is it possible that the Internal to External MASQ rule is hosing it? Can you host a web server on internal, I can't see any reason why not? i can see security reasons why not, but that's a different issue.

    Thanks,
    Julie
  • 0 in reply to jtittler
    Hi jtittler

    The problem is with your Packet Filter rule,  

    Any->HTTP->External (Address)->Allow

    Change this to:

    Any->HTTP->webserver ->Allow

    Your DNAT is fine for HTTP (80), you will need a new DNAT and packet filter rule for 8080. Can't remember if you need to define a services definition for 8080..  The packet Filter rules are invoked after your DNAT rules, so the firewall will see HTTP traffic going to your webserver not the external address.

    Hope this helps
  • 0 in reply to Mike_H
    Hi

    I also noticed your rule

    Internal Network->Any->Internal (network)->Allow
    Internal (Network)->DNS->Any->Allow
    Internal (Network)->Any->Any->Allow

    You can slim this down by only doing

    Internal (Network)->Any->Any->Allow

    A slim firewall is a happy firewall & Administrator..   :-)

    Unless you are wanting the logs for each of these rules.  If that is the case forget I said anything....  he he
  • 0 in reply to Mike_H
    I changed the packet filter rule to what you suggested:
    Any->HTTP->web-server->allow. No dice. And, I got rid of the superfluous packet filter rules. I checked with my ISP, they say they are not blocking ports. Just as an aside, I know the server is running, because I can view the web pgs from other clients internal to the network.

    Thanks.
    Julie
  • 0 in reply to jtittler
    can you see the connection being dropped in the live packet filter log?
    if you can please can you post the lines

    What is your DMZ interface called in the definitions?  I take it you have three network cards?
  • 0 in reply to Mike_H
    I'm not sure if I should be looking for source or dest port being 80, but here's some lines filtered out on the term =80. Note the last line. It's a test I did on purpose to pin down the src and dest IP addresses. The source is one of my internal clients. The dest is my external id address. I just typed my URL into a browser to see if it logged. Obviously, it's being dropped.

    Thanks,
    Julie
  • 0 in reply to Mike_H
    What is your DMZ interface called in the definitions?  I take it you have three network cards?


    I haven't set the machine up in a DMZ. You see, I have an Oracle server and a couple of development machines on the internal network. I have a 3rd NIC for a DMZ to host a personal Linux web server. I haven't set up the DMZ and personal server yet. The XP based web server I'm testing is on the internal network, and it has to be there, because it needs to talk with the other XP based development machines on the internal network, particularly the Oracle server. I need to expose this development web server, so clients and coworkers can see work in progress.
  • 0 in reply to jtittler
    Hi

    I know you have not setup the DMZ but Astaro will still have given the NIC a name.  Please can I have the name so I can work out the flow.

    You have an External (address)
    Internal (Address)
    And
    ........
Reply Children
  • 0 in reply to Mike_H
    interface name: IP/net mask/gateway

    DMZ (eth2): 192.168.10.10/255.255.255.0/none
    External (eth1): 72.70.56.106/255.255.255.0/72.70.56.1
    Internal (eth0): 192.168.1.100/255.255.255.0/none

    Sorry, I didn't understand that that is what you needed.

    Thanks for all your help. I truly appreciate it.

    Julie
  • 0 in reply to jtittler
    Hi Julie

    Sorry for the delay in my reply

    Is there anyway I can remote in to your Astaro interface and take a look at your config.  I am a little confused.  If I can please send me an email with your details and I will reply with my IP address.

    My email address is

    mikehuxley@blueyonder.co.uk
  • 0 in reply to Mike_H
    OK. Requests are getting to my web server. IIS says that it is seeing the requests and is giving everything a great status. Here are excerpts from my W3SVC1 logs. Apparently the  sc-status of 200 means success. 

    "200 OK

    The request has succeeded. The information returned with the response is dependent on the method used in the request, for example: 

    GET an entity corresponding to the requested resource is sent in the response;" :

    16:23:22 127.0.0.1 GET /Trinity/epiphany_2007.htm 200
    16:23:25 127.0.0.1 GET /Trinity/menu.js 200
    16:23:28 127.0.0.1 GET /Trinity/menu.js 200
    16:23:28 127.0.0.1 GET /Trinity/awmdata/awmlib1.js 200
    16:23:29 127.0.0.1 GET /Trinity/awmdata/main-button-left.gif 200
    16:23:29 127.0.0.1 GET /Trinity/awmdata/dot.gif 200
    16:23:29 127.0.0.1 GET /Trinity/awmdata/main-button-right.gif 200
    16:23:29 127.0.0.1 GET /Trinity/awmdata/main-buttonOver-left.gif 200
    16:23:29 127.0.0.1 GET /Trinity/awmdata/main-buttonOver-right.gif 200
    16:23:29 127.0.0.1 GET /Trinity/awmdata/main-button-tile.gif 200
    16:23:29 127.0.0.1 GET /Trinity/awmdata/main-buttonOver-tile.gif 200
    16:23:29 127.0.0.1 GET /Trinity/signature.jpg 200
    16:23:29 127.0.0.1 GET /Trinity/header.JPG 200

    So, IIS thinks it's sending things on its way. But it's not going anywhere which seems to tell me that it's not going to the outside world past Astaro. I know it's serving the pages correctly. http://localhost/myPg.htm works ok from any machine on the internal network, as does http://internal_ip//myPg.htm. But, http://mydomain_url/myPg.htm and http://my_external_ip/myPg.htm from internal machines do not work. My domain is pingable, so it's not a DNS issue.

    Oh, I relooked at the packet filter log. It's showing the requestis from internal machines, and says the packets are accepted.

    Thanks,
    Julie
  • 0 in reply to jtittler
    is it an external dns url?  or do you use an internal dns server
  • 0 in reply to Mike_H
    Check your IPS log (live log) while you attempt to access the website from outside the firewall... it may be tripping a rule or two.  I had to disable Edonkey and WinMX P2P blocking (although it's in a separate menu, it uses the IPS) just to get the User portal and some of my favorite websites to work, figured it out by watching the IPS log.
  • 0 in reply to Mike_H
    My dns adds are external dns servers from my ISP and Registar providers
  • 0 in reply to jtittler
    My dns adds are external dns servers from my ISP and Registar providers


    Hello Julie,

    I'm sure you already have done all the usual verifications after seeing all the steps you went through.

    But,

    - nslookup to your domain name (fqdn) from ANY node on your Internal net (or from any external endpoints also) should point to the external interface on the ASL.

    - Although a look in the IPS / IDS logs could point you to something, and with all due respect to BrucekConvergent, I think that the IPS is not affecting you right now. Your V. 6.303 would not be affected the same way we are with the new V.7.000 or 7.001.

    - Have you tried a simple "nmap -p 80 domainname -P0 -O" from somewhere else on the global interweb since you change the DNAT rule ? Are you able to see it open now since your first post ? 

    -  Have you tried  a combination of a DNAT rule :"ANY --> External address --> 80 --> DST Translation : web server" and a packet filter rule : "ANY --> 80 --> webserver --> allow" ? This should work when the host isn't in a DMZ.

    You're pretty close to it I think.

    Regards,
  • 0 in reply to Stealth
    Stealth I already suggested the DNAT option, but I must admit to forgetting about the nmap idea.

    Julie my offer to have a look at your config is still open if you would like
  • 0 in reply to Stealth

    - Although a look in the IPS / IDS logs could point you to something, and with all due respect to BrucekConvergent, I think that the IPS is not affecting you right now. Your V. 6.303 would not be affected the same way we are with the new V.7.000 or 7.001.
    Regards,


    Umm... I have had IPS rules cause issues on V6 as well... though I didn't notice that V6 was what is in use here... There a few IPS rules (even in V6) that can cause issues with some websites (some IIS WEBDAV rules in particular had to be disabled for some versions of Outlook Web Access to work, for example.
  • 0 in reply to BrucekConvergent
    BrucekConvergent : You're right about some of the IIS Webdav rules and such. Even on V.6.***. Disabling the rules or setting a temporary exclusion could reveal if this affects or not the web server.

    Mike_H : I know you suggested the DNAT option, I just wanted to combine the needed DNAT-pf rule together. Sorry if it was misinterpreted. No hard feeling [:)]

    It's been a while since Julie gave us some news. Let's hope everything is working fine now.  And if it is Julie, don't wait to much before putting this srv on a dedicated segment (DMZ). Security wise, this is the best thing to do.

    Regards