Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 2 subscribers
  • Views 22050 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Can't access NAT'd host externally

wesm
Hi, I have a new UTM that I'm trying to configure with some NAT'd DMZ hosts.

Right now I have:

  •  eth0: LAN -> Masq to the UTM's public IP
  •  eth1: WAN -> public IP range
  •  eth2: DMZ -> NAT range 10.24.1.1/24


I've set up my first DMZ host on the eth2 switch with a 10.24.1.* address and a DNAT rule from its WAN IP -> NAT IP. I can access the NAT host by its public IP from my LAN and the NAT rule appears in the firewall log since I have "log initial packets" set for the DNAT rule.

The problem, however, is that when I try to access the DMZ host by its public IP from an external source I can't connect and no firewall logs appear, neither NAT confirmations nor firewall blocking logs. Since there's no feedback from the firewall, I kinda think that it may be a routing issue, but I don't know how to check or troubleshoot that.

Any ideas or further troubleshooting steps?


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to BarryG
    Thanks for the quick response, Barry, but my problem is the opposite. I'll try to explain more.

    I have 3 network ranges

    • LAN (10.6.0.0/16)
    • WAN (203.0.113.64/26)
    • DMZ NAT (10.24.1.0/24)


    I can access my DMZ host by its public IP or NAT IP from the LAN.

    LAN (10.6.0.X) -> DMZ Host (203.0.113.78) OK, Firewall shows "NAT rule #6"
    LAN (10.6.0.X) -> NAT Host (10.24.1.78) OK, no firewall logs 


    What I can't do is access my DMZ host from the public Internet.

    Internet -> DMZ Host (203.0.113.78) Timeout, no firewall logs



    So, it looks to me like the UTM isn't even trying to send the request over to the NAT host. Where can I configure that? I expected that it would be default behavior once the NAT rule is evaluated, but it looks like it's never even trying to NAT.