Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 2 subscribers
  • Views 19793 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Can't open port 80

watnemoe1@comcast.net
I have a problem. I have the correct NAT rule in place, DNAT, source: any, service HTTP, destination: WAN, destination translation:web server.

I can see the inbound traffic passing the DNAT rule, but it never hits the firewall rule. The logs don't even show a failure to port 80. Any help would be great

My firewall rule is source:any service: http Destination:web server


This thread was automatically locked due to age.
  • 0 in reply to BAlfson
    watnemoe1, it's difficult to be logical here, or even to apply educated guesses.  You're jumping from one issue to another.  Please go back to post #4 and confirm those issues.

    Cheers - Bob


    Have to agree with Bob on this one.  It will be easier for us to help you if you take this one step at a time.  Go back to HTTP originally.  Try not to make any changes to the existing configuration during our troubleshooting as it makes the validity of our statements somewhat less reliable.

    Could you post a screen cap of your DNAT rule?
  • 0 in reply to ChristopherRuh
    Have to agree with Bob on this one.  It will be easier for us to help you if you take this one step at a time.  Go back to HTTP originally.  Try not to make any changes to the existing configuration during our troubleshooting as it makes the validity of our statements somewhat less reliable.

    Could you post a screen cap of your DNAT rule?


    Sorry Bob, I guess I get carried away when I am troubleshooting a simple problem.

    I turned off IDS and port scanning to eliminate that as something causing the problem

    I am using the any definition created by Webadmin during the install

    I tried putting the inbound rule at position 1 so that it was the first rule processed. 

    I have attached my DNAT and inbound rules
  • 0
    Thanks!  Try either activating the auto-firewall rule in the DNAT or putting the Firewall rule in position 1 instead of 75 - if the traffic passes after that, it's evident that the problem is some Block rule numbered 75 or less.

    You didn't say if you confirmed that traffic doesn't show as blocked in the Intrusion Prevention log.

    Cheers - Bob
  • 0 in reply to BAlfson
    I find it interesting that it works for HTTPS but not for HTTP.  Question for you.  Do you use Web Filtering?  Is it in transparent mode?  If yes to both, do you have it set to scan HTTP only?

    On the 6 or so Sophos units I've built I've seen where Sophos (for some reason) automatically adds the External network to the list of objects to be web proxied in the initial configuration.  May be going out on a limb on this one, but can you check and see if that is the case in your Web filtering configuration?  If so, and you don't specifically need the external network being proxied, could you remove it from the proxy list and try again?

    Other than that, this should be a fairly simple process.  Your DNAT rule looks good as well as your firewall rule.
  • 0 in reply to BAlfson
    Thanks!  Try either activating the auto-firewall rule in the DNAT or putting the Firewall rule in position 1 instead of 75 - if the traffic passes after that, it's evident that the problem is some Block rule numbered 75 or less.

    You didn't say if you confirmed that traffic doesn't show as blocked in the Intrusion Prevention log.

    Cheers - Bob


    Thank you again Bob, btw I am Jeff, glad to meet you. I did try moving the inbound rule to position 1, and that didn't make a difference.

    Yes, originally IDS was catching the inbound HTTP request (that's when the port would show closed and it wasn't being processed by the DNAT rule even). I made an exception for that host in IDS and that's when the port should opened and the DNAT rule would be processed, but not the firewall rule

    Bob, not sure if this means anything, but when I have the inbound rule enabled, the host when it sends out an HTTP request that HTTP request gets blocked. Just something I noticed yesterday
  • 0 in reply to ChristopherRuh
    I find it interesting that it works for HTTPS but not for HTTP.  Question for you.  Do you use Web Filtering?  Is it in transparent mode?  If yes to both, do you have it set to scan HTTP only?

    On the 6 or so Sophos units I've built I've seen where Sophos (for some reason) automatically adds the External network to the list of objects to be web proxied in the initial configuration.  May be going out on a limb on this one, but can you check and see if that is the case in your Web filtering configuration?  If so, and you don't specifically need the external network being proxied, could you remove it from the proxy list and try again?

    Other than that, this should be a fairly simple process.  Your DNAT rule looks good as well as your firewall rule.





    Why yes I do use web filtering in transparent mode. I looked in Web filtering section and the only interface that is shown for filtering is the LAN interface. I also have an exception for filtering for that host. So in the exceptions area I have that host listed in both (under advanced) skip transparent mode for hosts and skip transparent mode for destination hosts. And even though its open, its not returning anything back from the web site, even though I have an explicit outbound rule and SNAT rule (just in case). The WAN interface is not in the list for networks to be proxied.

    REVISED: After re-reading your post on the transparent proxy, I did an experiment and disabled the proxy just to see, and guess what? It started processing past the DNAT rule and hit the firewall rule, sweet. Now for the dumb question, how the heck are you supposed to run the proxy with an internal web site? Hmm, I do have the host as an exception in the proxy for traffic coming in and going out. BUt it still remains, that the WAN interface is not part of the networks to be proxied. AWSOME I was finally able to get it published. Now, what's the work around so that I can continue to proxie the internal network traffic. Currently I have the proxy off to get it to work, which is not the optimal solution of course. I think I finally have it with the proxy on now as well. I re-added the WAN interface to the proxy list, then I removed it again. Then tried it and that seems to have done the trick. Thank you to the both of you I can't tell you how much I appreciate all of the help. I didn't realize all of the places that a web site could get blocked at when your hosting a web site
  • 0 in reply to watnemoe1@comcast.net
    Glad you got it working!  As the senior members in the community would say, pay it forward and help others.  It's what keeps this community alive after all.
  • 0 in reply to ChristopherRuh
    Glad you got it working!  As the senior members in the community would say, pay it forward and help others.  It's what keeps this community alive after all.


    I promise I will, especially if I get a chance to use the nugget of information that I just learned about the web proxy and the WAN interface. What a find. Who would have ever thought. Big thanks go out to Bob and ruhllatio who kept my head level and focused on the problem. And got me to stop jumping around and around. What a power house. Thank you guys, I can't say it enough. You guys rock, and I am hoping what I have learned and am learning I can pass on. I have the DNAT and SNAT port forward stuff down.