Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 931 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IP Route to DMZ question

Maurice
Hi,

I have a web server on my DMZ but all the connections to it are referred as coming from the IP of the DMZ interface on the ASL machine. Therefore, I have no way to track user access to the web site or the original IP from where they are accessing the server from.

Is there a way to configure ASL to send the request to the server on the DMZ with the original users IP?

Thanks
Maurice  


This thread was automatically locked due to age.
  • 0
    how did you configure the NAT?

    If you didn´t made SNAT only DNAT, the Source IP must be the IP of User. Or not? [:S]

    Perhaps I understood it wrongly?!  
  • 0
    Post your configuration and rules associated with this.  A basic allow rule and DNAT should show the originating IP.  Works on mine (imagine an SMTP rule doing the same, relay would be allowed).

    Having the requests run through the HTTP proxy however will not show the originating IP.  Make sure you are not doing this for outside users.
      
  • 0 in reply to pablito
    [ QUOTE ]
    A basic allow rule and DNAT should show the originating IP. Having the requests run through the HTTP proxy however will not show the originating IP.  Make sure you are not doing this for outside users.
       

    [/ QUOTE ]

    I have only an allow rule into the server on the DMZ. The server has a real IP, not internal, therefore I don't see any reason to DNAT or SNAT to it. HTTP Proxy is enabled only for outgoing connections to the web (from the internal protected network to outside), no HTTP Proxy for incoming connections.

    Still, checking the web servers logs, all incoming HTTP request to it are originating from the IP of the DMZ interface on the ASL, which is by the way a real IP as well and not an internal IP.

    P.S. my network consists a 32 IP range splitted into 2 subnets of 16 (asl and router on one side and DMZ on the other) and an internal network).

    Thanks
    Maurice  
  • 0 in reply to Maurice
    This is why we ask for configuration details.  Wasn't a clue to how you are configured.  Real IPs with proper routing and rules should be the easiest set-up and do what you expect.

    Something is not right with the set-up.  Post more details.  Double check subnets and routing.  Make sure Proxy ARP isn't on and a static route exists at the WAN side router.

    Suggest turning off the web proxy while testing.