Problems with port 80

Julie,
I think the problem is with your DNAT/SNAT rule, it doesn't seem to allow any traffic in to the server. I think there should be something about the internal interface.

Ian M[[[:)]]][[[:)]]][[[:)]]]

I think the problem is with your DNAT/SNAT rule, it doesn't seem to allow any traffic in to the server. I think there should be something about the internal interface.

My DNAT/SNAT rule is straight out of the web server how to white paper.
Source = Any
Service = HTTP
Destination = External (address)
Source change = 
Destination change = web_server (Host definition done in definitions)
Service change = 

I followed the white paper for setting up the server. The only difference is that it's on my internal network not on a DMZ. Is it possible that the Internal to External MASQ rule is hosing it? Can you host a web server on internal, I can't see any reason why not? i can see security reasons why not, but that's a different issue.

Thanks,
Julie

I'm not sure if I should be looking for source or dest port being 80, but here's some lines filtered out on the term =80. Note the last line. It's a test I did on purpose to pin down the src and dest IP addresses. The source is one of my internal clients. The dest is my external id address. I just typed my URL into a browser to see if it logged. Obviously, it's being dropped.

Thanks,
Julie

What is your DMZ interface called in the definitions?  I take it you have three network cards?

I haven't set the machine up in a DMZ. You see, I have an Oracle server and a couple of development machines on the internal network. I have a 3rd NIC for a DMZ to host a personal Linux web server. I haven't set up the DMZ and personal server yet. The XP based web server I'm testing is on the internal network, and it has to be there, because it needs to talk with the other XP based development machines on the internal network, particularly the Oracle server. I need to expose this development web server, so clients and coworkers can see work in progress.

Hi

I know you have not setup the DMZ but Astaro will still have given the NIC a name.  Please can I have the name so I can work out the flow.

You have an External (address)
Internal (Address)
And
........

interface name: IP/net mask/gateway

DMZ (eth2): 192.168.10.10/255.255.255.0/none
External (eth1): 72.70.56.106/255.255.255.0/72.70.56.1
Internal (eth0): 192.168.1.100/255.255.255.0/none

Sorry, I didn't understand that that is what you needed.

Thanks for all your help. I truly appreciate it.

Julie

Hi Julie

Sorry for the delay in my reply

Is there anyway I can remote in to your Astaro interface and take a look at your config.  I am a little confused.  If I can please send me an email with your details and I will reply with my IP address.

My email address is

mikehuxley@blueyonder.co.uk

OK. Requests are getting to my web server. IIS says that it is seeing the requests and is giving everything a great status. Here are excerpts from my W3SVC1 logs. Apparently the  sc-status of 200 means success. 

"200 OK

The request has succeeded. The information returned with the response is dependent on the method used in the request, for example: 

GET an entity corresponding to the requested resource is sent in the response;" :

16:23:22 127.0.0.1 GET /Trinity/epiphany_2007.htm 200
16:23:25 127.0.0.1 GET /Trinity/menu.js 200
16:23:28 127.0.0.1 GET /Trinity/menu.js 200
16:23:28 127.0.0.1 GET /Trinity/awmdata/awmlib1.js 200
16:23:29 127.0.0.1 GET /Trinity/awmdata/main-button-left.gif 200
16:23:29 127.0.0.1 GET /Trinity/awmdata/dot.gif 200
16:23:29 127.0.0.1 GET /Trinity/awmdata/main-button-right.gif 200
16:23:29 127.0.0.1 GET /Trinity/awmdata/main-buttonOver-left.gif 200
16:23:29 127.0.0.1 GET /Trinity/awmdata/main-buttonOver-right.gif 200
16:23:29 127.0.0.1 GET /Trinity/awmdata/main-button-tile.gif 200
16:23:29 127.0.0.1 GET /Trinity/awmdata/main-buttonOver-tile.gif 200
16:23:29 127.0.0.1 GET /Trinity/signature.jpg 200
16:23:29 127.0.0.1 GET /Trinity/header.JPG 200

So, IIS thinks it's sending things on its way. But it's not going anywhere which seems to tell me that it's not going to the outside world past Astaro. I know it's serving the pages correctly. http://localhost/myPg.htm works ok from any machine on the internal network, as does http://internal_ip//myPg.htm. But, http://mydomain_url/myPg.htm and http://my_external_ip/myPg.htm from internal machines do not work. My domain is pingable, so it's not a DNS issue.

Oh, I relooked at the packet filter log. It's showing the requestis from internal machines, and says the packets are accepted.

Thanks,
Julie

is it an external dns url?  or do you use an internal dns server

Check your IPS log (live log) while you attempt to access the website from outside the firewall... it may be tripping a rule or two.  I had to disable Edonkey and WinMX P2P blocking (although it's in a separate menu, it uses the IPS) just to get the User portal and some of my favorite websites to work, figured it out by watching the IPS log.

My dns adds are external dns servers from my ISP and Registar providers

My dns adds are external dns servers from my ISP and Registar providers

Hello Julie,

I'm sure you already have done all the usual verifications after seeing all the steps you went through.

But,

- nslookup to your domain name (fqdn) from ANY node on your Internal net (or from any external endpoints also) should point to the external interface on the ASL.

- Although a look in the IPS / IDS logs could point you to something, and with all due respect to BrucekConvergent, I think that the IPS is not affecting you right now. Your V. 6.303 would not be affected the same way we are with the new V.7.000 or 7.001.

- Have you tried a simple "nmap -p 80 domainname -P0 -O" from somewhere else on the global interweb since you change the DNAT rule ? Are you able to see it open now since your first post ? 

-  Have you tried  a combination of a DNAT rule :"ANY --> External address --> 80 --> DST Translation : web server" and a packet filter rule : "ANY --> 80 --> webserver --> allow" ? This should work when the host isn't in a DMZ.

You're pretty close to it I think.

Regards,

My dns adds are external dns servers from my ISP and Registar providers

Hello Julie,

I'm sure you already have done all the usual verifications after seeing all the steps you went through.

But,

- nslookup to your domain name (fqdn) from ANY node on your Internal net (or from any external endpoints also) should point to the external interface on the ASL.

- Although a look in the IPS / IDS logs could point you to something, and with all due respect to BrucekConvergent, I think that the IPS is not affecting you right now. Your V. 6.303 would not be affected the same way we are with the new V.7.000 or 7.001.

- Have you tried a simple "nmap -p 80 domainname -P0 -O" from somewhere else on the global interweb since you change the DNAT rule ? Are you able to see it open now since your first post ? 

-  Have you tried  a combination of a DNAT rule :"ANY --> External address --> 80 --> DST Translation : web server" and a packet filter rule : "ANY --> 80 --> webserver --> allow" ? This should work when the host isn't in a DMZ.

You're pretty close to it I think.

Regards,

Stealth I already suggested the DNAT option, but I must admit to forgetting about the nmap idea.

Julie my offer to have a look at your config is still open if you would like

- Although a look in the IPS / IDS logs could point you to something, and with all due respect to BrucekConvergent, I think that the IPS is not affecting you right now. Your V. 6.303 would not be affected the same way we are with the new V.7.000 or 7.001.
Regards,

Umm... I have had IPS rules cause issues on V6 as well... though I didn't notice that V6 was what is in use here... There a few IPS rules (even in V6) that can cause issues with some websites (some IIS WEBDAV rules in particular had to be disabled for some versions of Outlook Web Access to work, for example.

BrucekConvergent : You're right about some of the IIS Webdav rules and such. Even on V.6.***. Disabling the rules or setting a temporary exclusion could reveal if this affects or not the web server.

Mike_H : I know you suggested the DNAT option, I just wanted to combine the needed DNAT-pf rule together. Sorry if it was misinterpreted. No hard feeling [:)]

It's been a while since Julie gave us some news. Let's hope everything is working fine now.  And if it is Julie, don't wait to much before putting this srv on a dedicated segment (DMZ). Security wise, this is the best thing to do.

Regards

Sorry I've been quiet on this issue for awhile. I have been banging my head against it and doing other work at the same time. I have made some progress, but not total progress. Here's where things stand. Other people can see my web server now. But, I cannot see my webserver using an external method from an internal machine. What I mean by that is: If I type something like http://www.tittlers.net/trinity/epiphany_2007.htm I get "Page cannot be displayed". I get the same thing if instead of www.tittlers.net I use my external IP address instead. I tried adding the domain to my hosts file on the windows machines, but that didn't work either. It's not a DNS thing, because I can ping the domain name. I've tried flushing the DNS, to no avail. 

Being able to see my web site using an external means of reaching it is important because the ASP.NET apps I'm developing are working internally, but are crashing for external users. And .NET error messages don't show to external clients. So, I need to be able to test both ways.

As as aside...
I've stopped posting because the forum stopped emailing me when updates to the topic happened. I just happened to pop back in and saw some more things to try. I'll keep you posted. If anyone has further ideas on this, that would rock. Thanks.

can't help with the problem, but the forum stops sending messages until you login after the last message received.

Ian M