Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 2 subscribers
  • Views 22039 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Can't access NAT'd host externally

wesm
Hi, I have a new UTM that I'm trying to configure with some NAT'd DMZ hosts.

Right now I have:

  •  eth0: LAN -> Masq to the UTM's public IP
  •  eth1: WAN -> public IP range
  •  eth2: DMZ -> NAT range 10.24.1.1/24


I've set up my first DMZ host on the eth2 switch with a 10.24.1.* address and a DNAT rule from its WAN IP -> NAT IP. I can access the NAT host by its public IP from my LAN and the NAT rule appears in the firewall log since I have "log initial packets" set for the DNAT rule.

The problem, however, is that when I try to access the DMZ host by its public IP from an external source I can't connect and no firewall logs appear, neither NAT confirmations nor firewall blocking logs. Since there's no feedback from the firewall, I kinda think that it may be a routing issue, but I don't know how to check or troubleshoot that.

Any ideas or further troubleshooting steps?


This thread was automatically locked due to age.
  • 0 in reply to BarryG
    Thanks for the quick response, Barry, but my problem is the opposite. I'll try to explain more.

    I have 3 network ranges

    • LAN (10.6.0.0/16)
    • WAN (203.0.113.64/26)
    • DMZ NAT (10.24.1.0/24)


    I can access my DMZ host by its public IP or NAT IP from the LAN.

    LAN (10.6.0.X) -> DMZ Host (203.0.113.78) OK, Firewall shows "NAT rule #6"
    LAN (10.6.0.X) -> NAT Host (10.24.1.78) OK, no firewall logs 


    What I can't do is access my DMZ host from the public Internet.

    Internet -> DMZ Host (203.0.113.78) Timeout, no firewall logs



    So, it looks to me like the UTM isn't even trying to send the request over to the NAT host. Where can I configure that? I expected that it would be default behavior once the NAT rule is evaluated, but it looks like it's never even trying to NAT.
  • 0
    Hi,
    Sorry, I misread your original post.

    Please post screenshots of your DNAT and firewall rule.

    Barry
  • 0
    Here are my firewall and NAT rules. I've moved them both to priority #1 to exclude other rules interfering.


  • 0
    Hi, 

    "Magnesium WAN" should be an external IP address (not network) on the firewall, is that right?

    And "Magnesium WAN" is the internal IP of the server?

    Barry
  • 0 in reply to BarryG
    Hi, 

    "Magnesium WAN" should be an external IP address (not network) on the firewall, is that right?

    And "Magnesium WAN" is the internal IP of the server?

    Barry


    Yes, the server's name is magnesium, so my definitions are (both type=Host) Magnesium NAT - 10.24.1.78, and Magnesium WAN - 203.0.113.78. The server itself is configured with the NAT address.
  • 0
    Hi,

    If nothing is showing in the firewall log, then the server itself may not be accepting the traffic (check that the gateway address is set correctly on the server), or maybe your ISP is blocking port 443?

    Try running tcpdump on the firewall console, first on the external interface to see if the traffic is getting to the firewall from the internet, and then on the internal interface to see it if's leaving the firewall to the server.

    Barry
  • 0
    I can fetch my UTM's "User Portal" page on port 443 so I know that the ISP isn't blocking my traffic to that IP at least.

    The gateway on the server is 10.24.1.1, the address of the eth2 network.

    I'm ssh'd into the UTM now, but I can't find tcpdump to run it. Do I need to be logged in as root?

    first on the external interface to see if the traffic is getting to the firewall from the internet, and then on the internal interface to see it if's leaving the firewall to the server.


    But if the traffic was ever leaving the firewall to the server, wouldn't it log the NAT rule to the firewall log like it does when I connect from LAN?
  • 0
    Hi, 

    you need to 'su' to root.

    With your settings the traffic should be logged, yes.

    Can you try turning off the User Portal?

    Barry
  • 0
    Ok I got tcpdump running. I ran 

    tcpdump -veni eth1 host  and port 443


    I can see the packets come in for the UTM, but not for my server. When I disabled the user portal, the connections are immediately closed; they don't time out like the requests to my server.

    My NAT settings can't cause that, right? It's like the packets aren't getting to the firewall in the first place?