Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 829 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Problem with webserver logs showing Astaro IP

caseyj1231
I'm hoping someone can tell me what I've got configured wrong here or if this is an issue with Astaro itself:

I'm running Astaro Virtual Firewall 7.6 (hoping to upgrade to 8 shortly), and when web users surf to a webserver behind the firewall, the logs ONLY show the Astaro firewall IP (10.150.0.1).  How do I get the firewall to forward the true IP to the webserver so the logs are correct?  I'm trying to do stats on my visitors, and that doesn't work too well when they show it's only coming from my network. [;)]


This thread was automatically locked due to age.
  • 0
    Can you show us the NAT rule that gets the traffic to the webserver?

    Cheers- Bob
  • 0 in reply to BAlfson
    DNAT [Neptune Web] Neptune
    Traffic selector: Any → HTTP → External (WAN) [Neptune] (Address)
    Destination translation: Neptune (Server 2008) HTTP
    Automatic packet filter rule: Yes
    Initial packets are logged: Yes

    The screenshot is posted as well.

    EDIT: I upgraded to version 8.000 last night as well. (Smoothest upgrade I've seen!)
  • 0
    Although it shouldn't affect your issue, it's a good habit to leave unchanged items empty - in this case, to not put "HTTP" into the 'Destination service' field.

    Another thing that can cause unwanted results is binding a host/network definition to an interface, so you should confirm that the definition "Neptune (Server 2008)" shows 'Interface' ">" instead of "Internal".

    Lastly, it looks like this DNAT is in position 9.  What happens when you move it to position 1?

    Cheers - Bob
  • 0
    I performed all of those changes, and it's still showing the router's IP address when I go from outside to inside.  Rule has been moved to position 1, interface shows Any now, and HTTP has been removed from the dest svc field.
  • 0
    You might try cleaning up other host/network definitions so that the only one bound to an interface is "Internet" - the one that is supplied by Astaro.  And the other DNAT/SNAT rules so that none has a non-blank, unchanged field.

    Check that the HTTP/S Proxy does not have any network that's not internal - specifically, that it has neither "External (Network)" nor "Internet" in 'Allowed networks'.

    If that's correct, then disable the 'Automatic packet filter rule' in your DNAT and create a PF rule 'Any -> HTTP -> Neptune (Server 2008) : Allow' with logging enabled.  Now, start the PF live log and access your web server from the outside - does that show the correct IP?

    Cheers -Bob
  • 0
    So I tried those, and even gave the APF rule exactly what you said, but it shows it goes connected by nat, but the webserver logs still show it's coming from 10.150.0.1 instead of the true IP.
  • 0
    I'm stumped.  Can anyone see what we're not thinking about?

    Cheers - Bob
  • 0 in reply to BAlfson
    Looks like astaro is double natted, its just passing packets so you shouldn't see it as a host in the logs. In v8 using application firewall, since the reverse proxy is running, it will show you the firewall as the one initiating the connection but it shouldn't be the case in v7 unless you have web proxy listening on external interface [:O]