Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 987 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Access To DMZ Servers

James Bourne
Hello all,

Quick question:

* Our web, ftp servers live in the DMZ on a private subnet range
* I'm using DNAT to forward traffic from a secondary public IP

I can get to the DMZ hosts via IP or internal hostname (eg. www01.domain.dmz). However, when I use the public canonical name (eg. www.domain.com) the browser times out.

I've had this problem before and it escapes me what the configuration fix is? 

Any help appreciated!

j.


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to BarryG
    Hi Barry,

    I tested that and it does work. The only problem is that as soon as you load up any static entries, it invalidates any public RR.

    For example, if you setup your public zone using ZoneEdit, you setup your MX in ZoneEdit to point to Google Mail and then set static entries on your ASG - the ASG cannot resolve the MX for your zone and is unable deliver mail. Unfortunately, you cannot stipulate RR type in the static entries (eg. IN A, CNAME, MX etc.).

    All I can really think of is running a split zone DNS. If you have any other ideas let me know. I seem to remember NAT'ing into the DMZ was one option from v4 days ... but I can't get that to work on v7.

    Cheers,

    James
  • 0 in reply to James Bourne
    James, you still can DNAT, but I don't think you should have the problem you're experiencing.  Do you have an internal DNS server?
  • 0 in reply to James Bourne
    All I can really think of is running a split zone DNS. If you have any other ideas let me know. I seem to remember NAT'ing into the DMZ was one option from v4 days ... but I can't get that to work on v7.


    IIRC, NAT doesn't work right internally if the NAT is on a secondary external IP.

    AFAIK split DNS would therefore be your best choice.

    Barry