Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 2 subscribers
  • Views 6607 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Passing Client IP to IIS

caseyj1231
I had asked this before, and didn't get much response.. however digging into v8, it shows that the system has to be in bridge mode to get full transparent mode.. which doesn't help things much.  So is this the only way I'd be able to get the client-ip info from the client to IIS, or is there a way in Astaro to setup an HTTP header with the client-ip info forwarded?  Or am I asking too much? [;)] I would think every other firewall can do this.. pass the client ip.. I would think Astaro could do this.. or if there's a way to run the full transparent mode without being in bridged mode..??


This thread was automatically locked due to age.
  • 0
    Casey, are you saying that you have a webserver in a DMZ and you want it to see the private IP of clients in your "Internal (Network)"?  Why have them transit the proxy - why not just configure for that traffic to be unproxied?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Hi Bob,

    (Sorry, I forgot to turn on the email when replied to link) - The webserver is not in the DMZ.  It is behind the firewall, with port 80 and 443 passed through to it.  I want the webserver to see the public IP's that come through.  Right now, it's only showing all traffic as coming from 10.150.0.1 (my astaro IP).
  • 0
    I'm still not sure I understand what you're doing now - I guess you're using the Web Application Firewall Reverse Proxy.  I don't think there's a full-transparent setting for that at present, nor do I understand how there could be.  You might want to make a feature request: Astaro Gateway Feature Requests

    If you just use a DNAT, skipping the WAF, your webserver will see the public IP.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    That's what I'm using is just a DNAT and it still only sees the router's IP as where traffic is coming from.  I thought about playing with WAF, but worried it will be a waste of time.
  • 0
    Post a screenshot of your dnat rule, that will clear up if this is a configuration issue or a bug.
  • 0 in reply to dilandau
    Attached is the DNAT ruleset I have set.
  • 0
    That looks like it should work. The only thing I can think of is to check the definition "Neptune (Server 2008)" and make sure it uses 'Interface' > and is not bound to the Internal interface.

    In a NAT rule, when something isn't being changed (HTTPS in your rule), the field should be left empty.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Yes, this is set to use "Interface >".  For both entries.
  • 0
    Yes, this is set to use "Interface >". For both entries.

    You have two definitions for "Neptune (Server 2008)"?

    The only reason I can imagine the traffic would come from 10.150.0.1 would be that the accesses are passing via the HTTP/S Proxy.  Can you confirm that you aren't allowing external traffic to use the Proxy, and that you aren't using the Proxy for internal traffic?

    Try de-selecting the auto packet filter rule, and then creating a temporary rule with logging 'Any -> Any -> Neptune (Server 2008) : Allow'.  Does the PF log show the traffic as coming from 10.150.0.1?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    The proxy is set for only internal (network) traffic, not external.  I did try the packet filtering trick you suggested and it did not make any difference.  Still showing the router's ip as the client IP.
Cookie Information Banner