Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 2 subscribers
  • Views 120606 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Problems with port 80

jtittler
I'm having a hell of a time getting my web server to show to the outside world. I have set up a static IP for my web server. I have created a host definition for the server. I have defined the following DNAT:

DNAT
DNAT/SNAT   Any->External (address)->HTTP  No change to source. Change destination to  Service destination - No Change

I have the following packet filter rules set up:
    Internal Network->Any->Internal (network)->Allow
  • DMZ->Any->Internal (Network)->Drop
  • Internal (Network)->DNS->Any->Allow
  • Internal (Network)->Any->Any->Allow
  • Any->HTTP->External (Address)->Allow
  • Any->RTP->Vonage_WAN->Allow


That's as per the various white papers and docs that I could find, and the various posts in the forums. Yet, port 80 still shows as blocked if I do a port scan from outside. I said, "OK, maybe Verizon is blocking port 80". So I did the same exercise with some other random port, like 82. No dice. Same problem.

The web server is not on the DMZ. It will be, but for the moment it's just on the internal network. I must mention that I am not a network engineer. I'm a software engineer mom who works from home. I've started doing some web app development for work, so I need to expose not just one web server, but 2. I know they'll need to go on different ports 80 and 8080? I don't know what else to try. I also tried runnig IIMS on a different machine on the network to make sure it wasn't some strange security setting on the machine I was using, but that didn't help.

STATS:
Astaro v6.303
Web server is Windows XP
Verizon FiOS internet connection. I am NOT using their router because the firewall sux. [:)]

I'm not sure what else you need to know. Thanks for the help. This sleep deprived mom is too pooped to ponder this one on her own anymore.

Thanks much,
Julie


This thread was automatically locked due to age.
  • 0
    Julie,
    I think the problem is with your DNAT/SNAT rule, it doesn't seem to allow any traffic in to the server. I think there should be something about the internal interface.

    Ian M[[[:)]]][[[:)]]][[[:)]]]
  • 0 in reply to RFCat_vk_01
    I think the problem is with your DNAT/SNAT rule, it doesn't seem to allow any traffic in to the server. I think there should be something about the internal interface.


    My DNAT/SNAT rule is straight out of the web server how to white paper.
    Source = Any
    Service = HTTP
    Destination = External (address)
    Source change = 
    Destination change = web_server (Host definition done in definitions)
    Service change = 

    I followed the white paper for setting up the server. The only difference is that it's on my internal network not on a DMZ. Is it possible that the Internal to External MASQ rule is hosing it? Can you host a web server on internal, I can't see any reason why not? i can see security reasons why not, but that's a different issue.

    Thanks,
    Julie
  • 0 in reply to jtittler
    Hi jtittler

    The problem is with your Packet Filter rule,  

    Any->HTTP->External (Address)->Allow

    Change this to:

    Any->HTTP->webserver ->Allow

    Your DNAT is fine for HTTP (80), you will need a new DNAT and packet filter rule for 8080. Can't remember if you need to define a services definition for 8080..  The packet Filter rules are invoked after your DNAT rules, so the firewall will see HTTP traffic going to your webserver not the external address.

    Hope this helps
  • 0 in reply to Mike_H
    Hi

    I also noticed your rule

    Internal Network->Any->Internal (network)->Allow
    Internal (Network)->DNS->Any->Allow
    Internal (Network)->Any->Any->Allow

    You can slim this down by only doing

    Internal (Network)->Any->Any->Allow

    A slim firewall is a happy firewall & Administrator..   :-)

    Unless you are wanting the logs for each of these rules.  If that is the case forget I said anything....  he he
  • 0 in reply to Mike_H
    I changed the packet filter rule to what you suggested:
    Any->HTTP->web-server->allow. No dice. And, I got rid of the superfluous packet filter rules. I checked with my ISP, they say they are not blocking ports. Just as an aside, I know the server is running, because I can view the web pgs from other clients internal to the network.

    Thanks.
    Julie
  • 0 in reply to jtittler
    can you see the connection being dropped in the live packet filter log?
    if you can please can you post the lines

    What is your DMZ interface called in the definitions?  I take it you have three network cards?
  • 0 in reply to Mike_H
    I'm not sure if I should be looking for source or dest port being 80, but here's some lines filtered out on the term =80. Note the last line. It's a test I did on purpose to pin down the src and dest IP addresses. The source is one of my internal clients. The dest is my external id address. I just typed my URL into a browser to see if it logged. Obviously, it's being dropped.

    Thanks,
    Julie
  • 0 in reply to Mike_H
    What is your DMZ interface called in the definitions?  I take it you have three network cards?


    I haven't set the machine up in a DMZ. You see, I have an Oracle server and a couple of development machines on the internal network. I have a 3rd NIC for a DMZ to host a personal Linux web server. I haven't set up the DMZ and personal server yet. The XP based web server I'm testing is on the internal network, and it has to be there, because it needs to talk with the other XP based development machines on the internal network, particularly the Oracle server. I need to expose this development web server, so clients and coworkers can see work in progress.
  • 0 in reply to jtittler
    Hi

    I know you have not setup the DMZ but Astaro will still have given the NIC a name.  Please can I have the name so I can work out the flow.

    You have an External (address)
    Internal (Address)
    And
    ........
  • 0 in reply to Mike_H
    interface name: IP/net mask/gateway

    DMZ (eth2): 192.168.10.10/255.255.255.0/none
    External (eth1): 72.70.56.106/255.255.255.0/72.70.56.1
    Internal (eth0): 192.168.1.100/255.255.255.0/none

    Sorry, I didn't understand that that is what you needed.

    Thanks for all your help. I truly appreciate it.

    Julie