Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 4388 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Confused: Accessing Internal or DMZ Webserver from Internal network

Dwayne_01
I've created a Full NAT rule "similar" to the suggested rule below. Everything seems to work fine, but I believe I am getting spoofing notification in my packet filter from not setting it up 100% correctly. The only thing that confuses me is the "Source: ASG Internal" is this the ip of the Astaro Gateway internal address? If so it doesn't work for me. My rule (attached to this message) works but I get spoofed packets.

Thanks,
Dwayne

Name: Webserver Full NAT for internal redirect
Traffic Source: Internal(network)
Traffic Service: HTTP
Traffic Destination: External(Address)
NAT mode: Full NAT
Destination: Internal Server address
Destination: Service: leave blank
Source: ASG Internal(address)
Source Service: Leave blank
Automatic packet filter rule: Check


This thread was automatically locked due to age.
Parents
  • 0
    I'd make a couple small changes:

    Name: Internal Access to Webserver
    Traffic Source: Internal (Network)
    Traffic Service: HTTP
    Traffic Destination: External (Address)
    NAT mode: Full NAT
    Destination: {IP of webserver in DMZ}
    Destination: Service: leave blank
    Source: DMZ (Address)
    Source Service: Leave blank
    Automatic packet filter rule: Check


    This is not recommended if you are using the HTTP/S Proxy.  If you are, then you should use Barry's suggestion.  If you're in "Transparent" mode, the DNS entry must be available to the client's browser.  If in a non-transparent mode, the ASG must have the entry or a 'DNS request route' back to your internal DNS.

    Cheers - Bob
Reply
  • 0
    I'd make a couple small changes:

    Name: Internal Access to Webserver
    Traffic Source: Internal (Network)
    Traffic Service: HTTP
    Traffic Destination: External (Address)
    NAT mode: Full NAT
    Destination: {IP of webserver in DMZ}
    Destination: Service: leave blank
    Source: DMZ (Address)
    Source Service: Leave blank
    Automatic packet filter rule: Check


    This is not recommended if you are using the HTTP/S Proxy.  If you are, then you should use Barry's suggestion.  If you're in "Transparent" mode, the DNS entry must be available to the client's browser.  If in a non-transparent mode, the ASG must have the entry or a 'DNS request route' back to your internal DNS.

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    Bob,

    Take a look at my attached image of the Full NAT rule I am using. The text is just a copy of the Astaro KB article. 

    When you say DMZ address do you mean the address of the Astaro DMZ interface?

    Dwayne


    I'd make a couple small changes:

    Name: Internal Access to Webserver
    Traffic Source: Internal (Network)
    Traffic Service: HTTP
    Traffic Destination: External (Address)
    NAT mode: Full NAT
    Destination: {IP of webserver in DMZ}
    Destination: Service: leave blank
    Source: DMZ (Address)
    Source Service: Leave blank
    Automatic packet filter rule: Check


    This is not recommended if you are using the HTTP/S Proxy.  If you are, then you should use Barry's suggestion.  If you're in "Transparent" mode, the DNS entry must be available to the client's browser.  If in a non-transparent mode, the ASG must have the entry or a 'DNS request route' back to your internal DNS.

    Cheers - Bob