Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 1247 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNAT/MASQ Mystery

RobTaylor
Hi,

Does anyone know why I may not be able to access my own server through DNAT?

Our public IP is (say) 1.2.3.4
My internal server is 192.168.1.1
My internal PC is 192.168.1.2
I am only interested DNATing HTTPS.
Yes - I have changed the SSL admin port.

1.2.3.4:443 -> 192.168.1.1:443 (DNAT)
192.168.1.0/24 -> Any (MASQ)

I can view SSL pages on other sites.
Other internet users can view my SSL site.
But I cannot view my own SSL site!

Does anyone have any idea why this is?

Rob  


This thread was automatically locked due to age.
Parents
  • 0
    Rob Taylor,

    what about a packet filter rule allowing access to your internal server from outside?
    'ANY HTTPS 192.168.1.1 ALLOW' should do the trick.

    read you
    o|iver  
  • 0 in reply to oliver.desch
    Oliver,

    Ver: 3.209

    My NAT Rules are:
    Any -> eth1_Interface__ / HTTPS   None   WEBSERVER / HTTPS
    LAN -> All / All   MASQ__eth1   None

    eth0: Lan
    eth1: DSL Connection

    And my Packet Filter Rules are:
    Any HTTPS WEBSERVER Allow

    I can browse the web OK and other users on the internet can see the server.  However I cannot see the server from the LAN using the external IP address on eth1.

    I recognise that we should ideally put the webserver in the DMZ, but I am replacing our current firewall/router with the much better Astaro box and want to replicate the old behaviour before changing anything.

    TIA,

    Rob  
  • 0 in reply to RobTaylor
    That is a DNS issue.  Best solution is to have an internal DNS that returns the actual internal IP for users coming from the inside.  No need to hit the firewall for an internal server from the inside.

    But.....
    Another hackish solution is a DNAT rule something like:
    eth0_network->external_nic_IP/HTTPS->external_nic_IP->Internal_Server_IP

    This works but makes the web log seem like everyone is coming from the firewall.  
  • 0 in reply to pablito
    That worked a treat ... Thank you very much!
      
Reply Children
No Data