Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 3 subscribers
  • Views 7803 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Unable to resolve host address

rE3RUste
Hello,

I have set up sophos 9 UTM on my network for both internal network and DMZ for webserver. Everything works perfectly in the internal network and the website on the webserver can be  accessed from the internet however I cannot access the internet from the DMZ (webserver). If i try to reach a website from the webserver i get the following error: "Unable to resolve host address".

I followed the configuration posted on howtoforge and everything is identiacal to the following post:
https://www.howtoforge.com/how-to-protect-your-web-server-with-sophos-utm

I have tried to tweak with firewall options but with no luck?

Has anyone any idea of why this is happening and how to resolve this?

Thanks,
George


This thread was automatically locked due to age.
  • 0
    Do you have a masq rule for the DMZ network?
    Do you have firewall rules to allow outbound traffic from the DMZ?
    How is your DNS setup for the DMZ hosts/network?
    Is the DMZ network setup to use the web proxy?

    Your not the first person to post here that is having issues after following that write-up.  That article is to setup for serving from your server, but it is incomplete for anything else.
  • 0
    Hi Scott, thanks - I spent a few days on it looking around but with no luck... with regards to your questions here is what I have: 

    Do you have a masq rule for the DMZ network?
    Do you have firewall rules to allow outbound traffic from the DMZ?

    yes so I created a masq rule from DMZ (Network)  to External (WAN)



    Do you have a masq rule for the DMZ network?
    How is your DNS setup for the DMZ hosts/network?


    In the allowed networks section under DNS I have DMZ (external) and Internal(network)


    Do you have a masq rule for the DMZ network?
    Is the DMZ network setup to use the web proxy?


    what do you mean I do not use a proxy. The server is connected to the DMZ directly. The pages on the server are visible online and I can ssh into the server but the server itself cannot resolve the hosts...

    Thanks
  • 0
    FYI, you posted this same issue into another thread.  I've merged it with this one.  One issue, one thread, no double posting.

    Ok, so you are not using the Web Filtering proxy then.  Do you have a firewall rule set to allow port 80 and 443 (web) outbound from this server?

    The DMZ network is allowed to use the DNS proxy.  What is set on your server for DNS servers?  Is it the IP address of the DMZ interface on the UTM?
  • 0
    Hi Scott, thank you. creating a 2 new firewall rules to allow HTTP/S and DNS services to from the DMZ network to the internet in the firewall section seem to have worked. Now if you could spare a couple of minutes do you think that this is a good setup? Would you have any suggestions to make re the set up of the system? I am a newbie so I do apologize if something seems obvious to you. Also, if you had a book and/or a good manual to reccomend on this topic I'd be greatful. thank you again. George
  • 0
    Hi, George, and welcome to the User BB!

    Below is what I was about to post in the unmerged other thread, but it sounds like you and Scott were almost already there! I've bolded the section that applies to your new firewall rules.

    From your link: "If you want the DMZ to interact with the outside world, you would have to add additional rules. But we skip this for the moment!"

    Change Firewall rules numbers 1, 2 & 3 by adding "DMZ (Network)" to both 'Sources' and 'Destinations' and replacing "Any" with the "Internet" object.  This allows your LAN to access the DMZ, but does not allow the DMZ to access your LAN.

    If you haven't already made one, you will need a masquerading rule 'DMZ (Network) -> External'.

    Cheers - Bob
    PS That's actually a nice guide for an initial setup for an inexperienced installer.  How did you find that?
  • 0
    No problem George.  The config seems ok as a start.  As you learn more, you may want to begin using other features, like IPS, the web filtering proxy, application control, etc.  Your best source of information, other than searching on these forums, is the built-in webadmin help (blue button with a question mark in the upper right of webadmin) /admin guide (Support >> Documentation or Unified Threat Management 9.x Administration Guides), and the knowledgebase (https://secure2.sophos.com/en-us/support/knowledgebase/b/2450.aspx).  I always recommend, before  enabling a feature, to read that section of the help/admin guide while following along in webadmin.  This will give you a good basis for what the feature can do and what configuration options exist.
  • 0
    Thanks Bob -- I found it easy to follow and got me up and running in no time! But as it said in the guide it was not meant to be comprehensive at all so it's good that we've now sort it out once and for all. This shuld at least help other people with the same problem in the future. Thanks
  • 0
    No problem George.  The config seems ok as a start.  As you learn more, you may want to begin using other features, like IPS, the web filtering proxy, application control, etc.  Your best source of information, other than searching on these forums, is the built-in webadmin help (blue button with a question mark in the upper right of webadmin) /admin guide (Support >> Documentation or Unified Threat Management 9.x Administration Guides), and the knowledgebase (https://secure2.sophos.com/en-us/support/knowledgebase/b/2450.aspx).  I always recommend, before  enabling a feature, to read that section of the help/admin guide while following along in webadmin.  This will give you a good basis for what the feature can do and what configuration options exist.


    excellent -- thanks Scott!
  • 0
    Enjoy George!!  [:)]  If you run into any other issues, just start a new thread for each, and Bob and I will trip over each others posts to assist.  lol