Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 2 subscribers
  • Views 3086 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

6.300 port forward problem.

Simon Shaw
Patched up to 6.300 today and now my companies web mail and outlook is no longer accessible.

I have an additional IP on external interface, this is supposed to NAT through to our Exchange server, instead, the firewall web admin interface is loading instead!  Argh.  Any ideas??

PS: I suggest a reboot for this patch too, after applying it, CPU usage went very high.  Had to reboot to fix it.


This thread was automatically locked due to age.
  • 0 in reply to Simon Shaw
    Hi there all, 

    let me give a small insight about this..

    We had a lot of issues in the past where people tried out NAT and did a DNAT rule:

    Any x Any x Any -> webserver

    and the whole system was gone, webadmin could not he accessed and system needed to be RMAed.

    We now added this 'don't DNAT webadmin traffic rule, only if there is at least one DNAT rule configured, that uses the service "Any", which would block webadmin access.

    If you are sure what you are doing, than there is a workaround by replacing the 'Any' service with a 'TCP_UDP_all' service. This leads to same expected NAT behavior, but does not create the  'protect webadmin' rule.

    hope that helps, 

    regards
    Gert
  • 0 in reply to Gert Hansen
    Why can't you simply force all https port 443 (or whatever the WebAdmin port is) traffic to each real interface to WebAdmin instead of all https traffic to any interface.

    If you had rules which did this that would solve everyone's problems. 

    WebAdmin can't be locked out, you can keep WebAdmin on port 443 and port 443 NAT to addresses other than the primary address on each NIC would still work.

    This change came as quite a surprise to us and brought us some unexpected downtime while we tried to track this down. Something this significant surely should have been mentioned in the release notes!!!
  • 0 in reply to drees
    Agreed, it broke all our email services to external users [:(]

    I see how some users can break their access to the system this way, however, and may I be blunt here.  If you are silly enough to create such a rule perhaps you shouldn't be setting up the firewall in the first place as I doubt you'd know enough to configure it correctly.

    A nicer option would be in the Web admin options, create a new config for which IP's Webmin is to listen on and have those rules overide all others?

    Gert's suggestion is a decent one, but a bit tricky to remember for new players.

    In any case I don't think Webmin should be binding to any new IP you add by default...
  • 0 in reply to Simon Shaw
    A nicer option would be in the Web admin options, create a new config for which IP's Webmin is to listen on and have those rules overide all others?
    That's a good suggestion, as it's not necessary to to have WebAdmin bound to all interfaces, just make sure it remains bound to one.
Cookie Information Banner