Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 2 subscribers
  • Views 22053 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Can't access NAT'd host externally

wesm
Hi, I have a new UTM that I'm trying to configure with some NAT'd DMZ hosts.

Right now I have:

  •  eth0: LAN -> Masq to the UTM's public IP
  •  eth1: WAN -> public IP range
  •  eth2: DMZ -> NAT range 10.24.1.1/24


I've set up my first DMZ host on the eth2 switch with a 10.24.1.* address and a DNAT rule from its WAN IP -> NAT IP. I can access the NAT host by its public IP from my LAN and the NAT rule appears in the firewall log since I have "log initial packets" set for the DNAT rule.

The problem, however, is that when I try to access the DMZ host by its public IP from an external source I can't connect and no firewall logs appear, neither NAT confirmations nor firewall blocking logs. Since there's no feedback from the firewall, I kinda think that it may be a routing issue, but I don't know how to check or troubleshoot that.

Any ideas or further troubleshooting steps?


This thread was automatically locked due to age.
Parents
  • 0
    Hi, wesm, and welcome to the User BB!

    I wonder if your problem isn't what I call Rule #4:

    When creating DNATs for traffic arriving from the internet, in "Going to:" always use the
    "(Address)" object created by WebAdmin when the interface or the Additional Address was defined.
    Using a regular Host object will cause the DNAT to fail as the packets won't qualify for the traffic selector.



    Once you fix that, the DNAT won't work for accesses from "Internal (Network)" and you'll need the article BarryG suggested earlier in the thread.

    Cheers - Bob
Reply
  • 0
    Hi, wesm, and welcome to the User BB!

    I wonder if your problem isn't what I call Rule #4:

    When creating DNATs for traffic arriving from the internet, in "Going to:" always use the
    "(Address)" object created by WebAdmin when the interface or the Additional Address was defined.
    Using a regular Host object will cause the DNAT to fail as the packets won't qualify for the traffic selector.



    Once you fix that, the DNAT won't work for accesses from "Internal (Network)" and you'll need the article BarryG suggested earlier in the thread.

    Cheers - Bob
Children
No Data