Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 2 subscribers
  • Views 120604 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Problems with port 80

jtittler
I'm having a hell of a time getting my web server to show to the outside world. I have set up a static IP for my web server. I have created a host definition for the server. I have defined the following DNAT:

DNAT
DNAT/SNAT   Any->External (address)->HTTP  No change to source. Change destination to  Service destination - No Change

I have the following packet filter rules set up:
    Internal Network->Any->Internal (network)->Allow
  • DMZ->Any->Internal (Network)->Drop
  • Internal (Network)->DNS->Any->Allow
  • Internal (Network)->Any->Any->Allow
  • Any->HTTP->External (Address)->Allow
  • Any->RTP->Vonage_WAN->Allow


That's as per the various white papers and docs that I could find, and the various posts in the forums. Yet, port 80 still shows as blocked if I do a port scan from outside. I said, "OK, maybe Verizon is blocking port 80". So I did the same exercise with some other random port, like 82. No dice. Same problem.

The web server is not on the DMZ. It will be, but for the moment it's just on the internal network. I must mention that I am not a network engineer. I'm a software engineer mom who works from home. I've started doing some web app development for work, so I need to expose not just one web server, but 2. I know they'll need to go on different ports 80 and 8080? I don't know what else to try. I also tried runnig IIMS on a different machine on the network to make sure it wasn't some strange security setting on the machine I was using, but that didn't help.

STATS:
Astaro v6.303
Web server is Windows XP
Verizon FiOS internet connection. I am NOT using their router because the firewall sux. [:)]

I'm not sure what else you need to know. Thanks for the help. This sleep deprived mom is too pooped to ponder this one on her own anymore.

Thanks much,
Julie


This thread was automatically locked due to age.
Parents
  • 0
    Julie,
    I think the problem is with your DNAT/SNAT rule, it doesn't seem to allow any traffic in to the server. I think there should be something about the internal interface.

    Ian M[[[:)]]][[[:)]]][[[:)]]]
  • 0 in reply to RFCat_vk_01
    I think the problem is with your DNAT/SNAT rule, it doesn't seem to allow any traffic in to the server. I think there should be something about the internal interface.


    My DNAT/SNAT rule is straight out of the web server how to white paper.
    Source = Any
    Service = HTTP
    Destination = External (address)
    Source change = 
    Destination change = web_server (Host definition done in definitions)
    Service change = 

    I followed the white paper for setting up the server. The only difference is that it's on my internal network not on a DMZ. Is it possible that the Internal to External MASQ rule is hosing it? Can you host a web server on internal, I can't see any reason why not? i can see security reasons why not, but that's a different issue.

    Thanks,
    Julie
  • 0 in reply to jtittler
    Hi

    I know you have not setup the DMZ but Astaro will still have given the NIC a name.  Please can I have the name so I can work out the flow.

    You have an External (address)
    Internal (Address)
    And
    ........
  • 0 in reply to Mike_H
    interface name: IP/net mask/gateway

    DMZ (eth2): 192.168.10.10/255.255.255.0/none
    External (eth1): 72.70.56.106/255.255.255.0/72.70.56.1
    Internal (eth0): 192.168.1.100/255.255.255.0/none

    Sorry, I didn't understand that that is what you needed.

    Thanks for all your help. I truly appreciate it.

    Julie
  • 0 in reply to jtittler
    Hi Julie

    Sorry for the delay in my reply

    Is there anyway I can remote in to your Astaro interface and take a look at your config.  I am a little confused.  If I can please send me an email with your details and I will reply with my IP address.

    My email address is

    mikehuxley@blueyonder.co.uk
  • 0 in reply to Mike_H
    OK. Requests are getting to my web server. IIS says that it is seeing the requests and is giving everything a great status. Here are excerpts from my W3SVC1 logs. Apparently the  sc-status of 200 means success. 

    "200 OK

    The request has succeeded. The information returned with the response is dependent on the method used in the request, for example: 

    GET an entity corresponding to the requested resource is sent in the response;" :

    16:23:22 127.0.0.1 GET /Trinity/epiphany_2007.htm 200
    16:23:25 127.0.0.1 GET /Trinity/menu.js 200
    16:23:28 127.0.0.1 GET /Trinity/menu.js 200
    16:23:28 127.0.0.1 GET /Trinity/awmdata/awmlib1.js 200
    16:23:29 127.0.0.1 GET /Trinity/awmdata/main-button-left.gif 200
    16:23:29 127.0.0.1 GET /Trinity/awmdata/dot.gif 200
    16:23:29 127.0.0.1 GET /Trinity/awmdata/main-button-right.gif 200
    16:23:29 127.0.0.1 GET /Trinity/awmdata/main-buttonOver-left.gif 200
    16:23:29 127.0.0.1 GET /Trinity/awmdata/main-buttonOver-right.gif 200
    16:23:29 127.0.0.1 GET /Trinity/awmdata/main-button-tile.gif 200
    16:23:29 127.0.0.1 GET /Trinity/awmdata/main-buttonOver-tile.gif 200
    16:23:29 127.0.0.1 GET /Trinity/signature.jpg 200
    16:23:29 127.0.0.1 GET /Trinity/header.JPG 200

    So, IIS thinks it's sending things on its way. But it's not going anywhere which seems to tell me that it's not going to the outside world past Astaro. I know it's serving the pages correctly. http://localhost/myPg.htm works ok from any machine on the internal network, as does http://internal_ip//myPg.htm. But, http://mydomain_url/myPg.htm and http://my_external_ip/myPg.htm from internal machines do not work. My domain is pingable, so it's not a DNS issue.

    Oh, I relooked at the packet filter log. It's showing the requestis from internal machines, and says the packets are accepted.

    Thanks,
    Julie
  • 0 in reply to jtittler
    is it an external dns url?  or do you use an internal dns server
  • 0 in reply to Mike_H
    Check your IPS log (live log) while you attempt to access the website from outside the firewall... it may be tripping a rule or two.  I had to disable Edonkey and WinMX P2P blocking (although it's in a separate menu, it uses the IPS) just to get the User portal and some of my favorite websites to work, figured it out by watching the IPS log.
  • 0 in reply to Mike_H
    My dns adds are external dns servers from my ISP and Registar providers
  • 0 in reply to jtittler
    My dns adds are external dns servers from my ISP and Registar providers


    Hello Julie,

    I'm sure you already have done all the usual verifications after seeing all the steps you went through.

    But,

    - nslookup to your domain name (fqdn) from ANY node on your Internal net (or from any external endpoints also) should point to the external interface on the ASL.

    - Although a look in the IPS / IDS logs could point you to something, and with all due respect to BrucekConvergent, I think that the IPS is not affecting you right now. Your V. 6.303 would not be affected the same way we are with the new V.7.000 or 7.001.

    - Have you tried a simple "nmap -p 80 domainname -P0 -O" from somewhere else on the global interweb since you change the DNAT rule ? Are you able to see it open now since your first post ? 

    -  Have you tried  a combination of a DNAT rule :"ANY --> External address --> 80 --> DST Translation : web server" and a packet filter rule : "ANY --> 80 --> webserver --> allow" ? This should work when the host isn't in a DMZ.

    You're pretty close to it I think.

    Regards,
  • 0 in reply to Stealth
    Stealth I already suggested the DNAT option, but I must admit to forgetting about the nmap idea.

    Julie my offer to have a look at your config is still open if you would like
  • 0 in reply to Stealth

    - Although a look in the IPS / IDS logs could point you to something, and with all due respect to BrucekConvergent, I think that the IPS is not affecting you right now. Your V. 6.303 would not be affected the same way we are with the new V.7.000 or 7.001.
    Regards,


    Umm... I have had IPS rules cause issues on V6 as well... though I didn't notice that V6 was what is in use here... There a few IPS rules (even in V6) that can cause issues with some websites (some IIS WEBDAV rules in particular had to be disabled for some versions of Outlook Web Access to work, for example.
Reply
  • 0 in reply to Stealth

    - Although a look in the IPS / IDS logs could point you to something, and with all due respect to BrucekConvergent, I think that the IPS is not affecting you right now. Your V. 6.303 would not be affected the same way we are with the new V.7.000 or 7.001.
    Regards,


    Umm... I have had IPS rules cause issues on V6 as well... though I didn't notice that V6 was what is in use here... There a few IPS rules (even in V6) that can cause issues with some websites (some IIS WEBDAV rules in particular had to be disabled for some versions of Outlook Web Access to work, for example.
Children
  • 0 in reply to BrucekConvergent
    BrucekConvergent : You're right about some of the IIS Webdav rules and such. Even on V.6.***. Disabling the rules or setting a temporary exclusion could reveal if this affects or not the web server.

    Mike_H : I know you suggested the DNAT option, I just wanted to combine the needed DNAT-pf rule together. Sorry if it was misinterpreted. No hard feeling [:)]

    It's been a while since Julie gave us some news. Let's hope everything is working fine now.  And if it is Julie, don't wait to much before putting this srv on a dedicated segment (DMZ). Security wise, this is the best thing to do.

    Regards
  • 0 in reply to Stealth
    Sorry I've been quiet on this issue for awhile. I have been banging my head against it and doing other work at the same time. I have made some progress, but not total progress. Here's where things stand. Other people can see my web server now. But, I cannot see my webserver using an external method from an internal machine. What I mean by that is: If I type something like http://www.tittlers.net/trinity/epiphany_2007.htm I get "Page cannot be displayed". I get the same thing if instead of www.tittlers.net I use my external IP address instead. I tried adding the domain to my hosts file on the windows machines, but that didn't work either. It's not a DNS thing, because I can ping the domain name. I've tried flushing the DNS, to no avail. 

    Being able to see my web site using an external means of reaching it is important because the ASP.NET apps I'm developing are working internally, but are crashing for external users. And .NET error messages don't show to external clients. So, I need to be able to test both ways.

    As as aside...
    I've stopped posting because the forum stopped emailing me when updates to the topic happened. I just happened to pop back in and saw some more things to try. I'll keep you posted. If anyone has further ideas on this, that would rock. Thanks.
  • 0 in reply to jtittler
    can't help with the problem, but the forum stops sending messages until you login after the last message received.

    Ian M