Hallo,
ich möchte auf einer ASG eine zweite, vom Internetprovider zugewiesene, WAN-IP-Adresse via DNAT auf einen Webserver (separater Reverse Proxy) in der DMZ führen. Es ist nicht der Astaro-interne Reverse Proxy gemeint! Das entsprechende Kundenprojekt gibt dies so vor. Dies ganz kurz zum Rahmen.
Der Reverse Proxy soll externe Anfragen auf Port tcp 80 und 443 annehmen. Anfragen werden dann von diesem Reverse Proxy an den eigentlichen Web-Applikationsserver im geschützten Produktionsnetzwerk geleitet. Hierzu existiert eine Paketfilterregel für die Ports tcp 80 und 443 vom DMZ-Reverse-Proxy zum Produktionsserver. Hier nochmal der Kommunikationsfluß (Quelle->Senke) zur besseren Übersicht:
Web-User via FQDN-URL-Aufruf -> Zweite Internetadresse auf ASG für Applikationszugang -> DNAT –> Reverse Proxy in DMZ -> Paketfilter -> Produktionsmaschine (Web-Applikation)
Ich habe dies nun via DNAT konfiguriert und komme aktuell nicht zum Reverse Proxy (Linux-Maschine mit Apache) durch. Im Livelog werden meine Anfragen auf den Ports tcp 80 und 443 mit SYN beantwortet und per default gedropped. Irgendwie habe ich den Eindruck, daß die Assoziation der WAN-IP-Adresse nicht richtig via DNAT auf die IP-Adresse in der DMZ funktioniert.
Habe es mit der Option „automatic packet filter rules“, als auch mit einer dedizierten Paketfilterregel probiert. Beides geht nicht.
Anbei die DNAT-Konfiguration:
Regel 1:
Traffic Source: Any
Traffic Service: HTTP
Traffic Destination: WAN-Schnittstelle mit der zweiten IP-Adresse
NAT Mode: DNAT
Destination: Reverse-Proxy (Webserver in DMZ)
Destination Service: leer
Regel 2:
Traffic Source: Any
Traffic Service: HTTPS
Traffic Destination: WAN-Schnittstelle mit der zweiten IP-Adresse
NAT Mode: DNAT
Destination: Reverse-Proxy (Webserver in DMZ)
Destination Service: leer
Zusätzlich manuelle Paketfilterregel für Kommunikation Reverse Proxy nach Produktionsmaschine.
Besten Dank für Ratschläge.
Grüße
This thread was automatically locked due to age.