Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 2796 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Public access to internal Website

jcargile
Ok, here's my scenario:

  • Running ASG 7.402 in Transparent Mode.
  • My ISP blocks port 80.
  • I have a Dynamic WAN IP address.
  • I use ZoneEdit to forward my domain name to port 8099 and to keep my WAN IP updated in DNS.
This works very well.


  • I have a SonicWALL PRO 230 as my Router.
  • The SonicWALL forwards traffic on Port 8099 to a secondary IP address on my Astaro's External WAN NIC.
  • I have created a 'Service' that directs port 8099 to port 80.
  • I have created a DNAT Rule that forwards the WAN traffic through the Service to an Internal PC running Apache2.2.
  • I have also created a Packet Filter that does the same.
  • I use "WebsitePulse" to test the connectivity of my site.
During a test, I open the Packet Filter Live Log and every attempt by WebsitePulse gets dropped at my alternate External WAN IP.
The reason seems only to be "Default DROP" and is not referencing any 'Real' (Editable) packet filter.
 
I have tried this with 'Packet Filters', 'DNAT', 'Policy Routes' and 'Generic Proxy' but nothing seems to work.
I know that the DNAT has precedence over the Packet Filter, so what IS dropping the traffic?
 

From reading all the posts on this, I believe that a simple DNAT rule SHOULD handle it correctly but I am confused on the settings:[LIST=1]
  • Are my 2 'Destination' settings correct in the DNAT Rule?
  • What is the 'Automatic Packet Filter Rule'?
[/LIST]DNAT.png
 
Packet Filter.png
 
I appreciate any help on this matter.


This thread was automatically locked due to age.
Parents
  • 0
    Hi,

    The DNAT rule should have a source of "any" or a specific ip you are accessing the website from externally. The Traffic Destination of the DNAT should be your External WAN IP address. The rest of the rule looks correct. I can't remember, you may have to adjust the packet filter rule to allow port 80, but you can check the packet filter log to verify if the traffic is still being dropped. You might also want to add the webserver to the transparent mode skip list if you have the http proxy enabled.

    There is also a guide at Astaro Knowledgebase on how to create DNAT's it's article 239708.
  • 0 in reply to dilandau
    Good catch, Dilandau.  I looked at the interface symbol and "felt" it was wrong, but my brain wouldn't let me see the answer.  You are also correct about the PF rule since DNAT is done before packet filtering.

    I believe that, even when the proxy is enabled, traffic inside the physical subnet doesn't transit the proxy.  Please correct me if this is wrong.

    Cheers - Bob
Reply
  • 0 in reply to dilandau
    Good catch, Dilandau.  I looked at the interface symbol and "felt" it was wrong, but my brain wouldn't let me see the answer.  You are also correct about the PF rule since DNAT is done before packet filtering.

    I believe that, even when the proxy is enabled, traffic inside the physical subnet doesn't transit the proxy.  Please correct me if this is wrong.

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    Dilandau,
    I implemented your suggestion about the DNAT but Port 8099 was still being dropped at the External WAN Interface.
     
    The Tech Doc got me to thinking so I went back and checked my Service Definition.
    I had it set as:
    Source: 8099
    Destination: 80
     
    At first, this seemed right to me.
     
    I now have it set to:
    Source: 1:65535
    Destination: 8099
     
    IT NOW WORKS!!!!
    Thanks for the help and redirection.
  • 0 in reply to jcargile
    Thanks, JCargile, it really add a lot to the value of this when people post details even after a problem is solved.

    Cheers - Bob
  • 0 in reply to BAlfson
    Sure thing... it also keeps a record for myself where I know I can find it!
     
    One thing I noticed this morning, is that I still had a 'Generic Proxy' defined.
    When I disabled the GP, I could no longer access the site.
    I will leave it enabled since it seems to work.
    I believe this is due to having a Dynamic Public IP.
     
    Generic Proxy.png
     
    Can you please verify this site is accessible?
    lms.ensentient.com
  • 0 in reply to jcargile
    No generic proxy required behind our Astaro to that ensentient website.

    You know, I was just thinking that you might get whet you want by using the standard HTTP Proxy and creating a NAT rule: 'External (Address) -> HTTP -> Any : SNAT from Http 8091' (leave the change source blank).

    Cheers - Bob