Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 3621 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNAT to Different Subnet

evilcraftknife
Hi All

I've run into a bit of a brick wall with this one.

I'm using Sophos UTM9 as a virtual appliance in vmware.

I have a /28 block of public IP addresses and currently use UTM 9 to Firewall our network and DNAT our internet facing services.

All was working fine until I moved a couple of our web servers to a different subnet in our private IP range. There are no connection problems between the UTM9 and the problematic hosts. When I attempt a connection to the HTTPS port 443 it logs the correct NAT rule but the browser doesn't connect. I've also used nmap from a remote server and reports that 443 is not accessible.

Has anybody got any ideas?

Thanks in advance

Kevin Ratcliffe


This thread was automatically locked due to age.
Parents
  • 0
    Everything can ping each other.

    Here is a quick overview of our network topology:

    network 1 - 10.50.0.0/20
    network 2 - 10.70.0.0/20

    UTM resides on 10.70.0.211 internally and 212.219.142.157 externally

    The problem host is 10.50.0.122 internally and 212.219.142.147 externally

    We have no DMZ, we use DNAT to make internet services available to internal hosts

    The problematic host was on the 10.70.0.0/20 network and was fine before I moved it to the new network 10.50.0.0/20

    I would've assumed that all I needed to do would be to change it's internal host definition.

    When I look at the live firewall logs, I can see the correct NAT rule #4 being triggered but still no service.

    18:40:28 NAT rule #4 TCP 81.97.18.152 : 43705→212.219.142.147 : 443 [SYN] len=60  ttl=52 tos=0x00 srcmac=0:13:1a:a3:ec:21  dstmac=0:50:56:ac:12:4c

    Sorry about the text wrap

    Kev
Reply
  • 0
    Everything can ping each other.

    Here is a quick overview of our network topology:

    network 1 - 10.50.0.0/20
    network 2 - 10.70.0.0/20

    UTM resides on 10.70.0.211 internally and 212.219.142.157 externally

    The problem host is 10.50.0.122 internally and 212.219.142.147 externally

    We have no DMZ, we use DNAT to make internet services available to internal hosts

    The problematic host was on the 10.70.0.0/20 network and was fine before I moved it to the new network 10.50.0.0/20

    I would've assumed that all I needed to do would be to change it's internal host definition.

    When I look at the live firewall logs, I can see the correct NAT rule #4 being triggered but still no service.

    18:40:28 NAT rule #4 TCP 81.97.18.152 : 43705→212.219.142.147 : 443 [SYN] len=60  ttl=52 tos=0x00 srcmac=0:13:1a:a3:ec:21  dstmac=0:50:56:ac:12:4c

    Sorry about the text wrap

    Kev
Children
No Data