Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 2 subscribers
  • Views 3717 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNAT issue if src not any

Mat
Hello everyone,

I have a DNAT issue if source is a specific host.

Box is a ASG220 with 8.301 running (not the latest I know).
If DNAT source is set to any - everything works as expected.
If DNAT source is set to a Host or Host Group - DNAT will be ignored

Is there something special I have to do to get DNAT with a Host Group working?

regards,
Mat


This thread was automatically locked due to age.
  • 0
    Do you have selected the correct "Interface" in the host definition of the source (or ">")?
  • 0 in reply to UrsWeiss
    Hi,
    I tried some variants - logical an and some useless...
    switched interfaces / destinations / host groups / host / dns host / services

    same result - if a host will be inserted DNAT stops working.
    The only way to keep it working is to set traffic source to any (0.0.0.0/0)

    Mat
  • 0
    Try to create a network definition like this one:

    Name: Whatever
    Type: Host
    Interface: >
    IPv4 Address: 
    IPv6 Address: 

    =====================
    Then the DNAT:

    Position: Top
    Traffic Source: 
    Traffic Service: 
    Traffic Destination: 

    NAT mode: DNAT

    Destination: 
    Destination Service: 

    Log initial packets: 
    Automatic Firewall rule: 

    =====================

    Then open the package filter live log and see what happens.
    (Maybe post the line from the log if it fails)

    Urs
  • 0
    Hi, Mat, and welcome to the User BB!

    Please [Go Advanced] below and attach a picture of your Host definition before making the changes Whity recommends.

    Cheers - Bob
  • 0
    here is my host definition


    DNAT


    Traffic Destination is external and bound to external interface.

    The only log entry I´ve found was the http-request -> DNAT ignored. 
    07-11-2012	08:54:43 Daemon.Info 2012:07:11-08:54:43 httpproxy[22849]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="10.10.0.202" dstip="***.***.103.200" user="" statuscode="200" cached="0" profile="REF_iWAJzjfGpf (Infra)" filteraction="REF_FatoYutZLU (Infra Filter)" size="700" request="0xc0f05ca8" url="http://***.***.103.200/" exceptions="" error="" category="9998" reputation="neutral" categoryname="Uncategorized" content-type="text/html"
  • 0
    Thanks, Mat, that's what I suspected...

    Always, in every Network/Host definition, leave 'Interface: >' in place.  Never bind a definiton to a specific interface unless instructed to do so by an Astaro/Sophos Support engineer  (yes, "always" and "never").

    Also, it's a good habit to leave a D/SNAT-rule field empty if it isn't changing.  'Destination Service' can be left blank in your DNAT.

    With that change in the definitions (as Whity recommended), does it work now?

    Cheers - Bob
  • 0
    "Traffic Destination is external and bound to external interface."

    Don't bind it.

    Also, your DNAT looks mixed up. Follow Whity's advice.
    Also, you should just use the built-in "External (Address)" definition instead of defining your own, in case your IP changes.


    However, I'm getting confused.
    You initially said you want to control the source address in the DNAT... is PC202 the source or the destination?
    If it's the source (as pictured in your DNAT), why does it have a 10.x address?

    In a DNAT, the source should be on the Internet, and the destination should be INSIDE the firewall.


    Barry
  • 0
    Traffic Destination is external and bound to external interface.


    Also, you should just use the built-in "External (Address)" definition instead of defining your own, in case your IP changes.


    Good catch, Barry, I had missed that.  Mat, to emphasize what I said in my last post, you had one of the rare correct uses of binding to an interface for the definition used in the 'Traffic Destination'.  However, it's like Barry says, you should always use an "(Address)" object created by WebAdmin when you define an interface or an Additional Address.

    Cheers - Bob
  • 0 in reply to BAlfson
    First of all I would like to thank all of you for helping and your tips.

    I checked out your configuration tips...
    Host definition interfaces changed to >
    Destination Service - blank

    PC0202 has ip 10.10.0.202

    So may I explain what I want to do...
    ***.***.103.200 is reachable from external (internal address is 192.168.255.241).
    I want Host PC0202 If he tries to connect to this external IP to get connected to internal IP. 

    Seems not logical because I can actually access the page via external IP.
    Sure, but the software which is running there cannot handle this correct and some functions aren´t working (internal-external-internal, developers need some time to investigate this) 

    I thought DNAT would fit my needs until developers found the issue.

    But I don´t get this one:
    It works if source is set to Any, Internal Network or External Address.