Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 1760 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

How to route to dmz when snatting everything to external

tuxi
Hi!

I'm experiencing the following problem:

- internal lan machine is fully snatted to the outside on external interface
- a dmz exists
- the snatted machine shows up on the machines in the dmz as if it is the asg

i.e. http apache log: 



213.240.213.240 - - [16/Aug/2011:09:22:44 +0200] "GET url-blabla HTTP/1.1" 200 442 "url-referrer-blabla" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:6.0) Gecko/20100101 Firefox/6.0"


What I want is this: If the local lan machine accesses the dmz it show up with it's local lan ip instead of asg ip. 


192.168.80.200 - - [16/Aug/2011:09:22:54 +0200] "GET url-blabla HTTP/1.1" 200 442 "url-referrer-blabla" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:6.0) Gecko/20100101 Firefox/6.0"


Any ideas on this?

Regards,
Michael


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to KoC
    Hi KoC,

    Are you using a web proxy on the asg. that is the cause.


    indeed the web filtering (8.201) is active, but the browser is set to automatic proxy discovering and the wpad.dat tells this client that it should not use the proxy.
    When having the live log open there is no connection via the web proxy when opening a http page on a dmz server.

    Disabling the snat rule gives the effect of seeing the local lan ip in the dmz http server logs. But then of course the machine is not fully snatted anymore.

    So what point am I missing? ;-)

    Michael
  • 0 in reply to tuxi
    [...]fully snatted anymore.


    I just saw that I wrote "fully snatted" and the rule is just for snatting http. My fault, sorry. :-)

    Michael