Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 27 replies
  • Subscribers 3 subscribers
  • Views 34126 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DMZ built of combination of MASQUERADE and/or FullNAT and/or DNAT???

Connaisrien
I spent many many hours during the last few weeks , trying about everything I found in here in order to have a FULL DMZ using 1 free interface,

I works, kinda,  but not completely, there's always something that goes wrong.

I also tried this:
UTM: Accessing Internal or DMZ servers from Internal Networks using DNAT

in any way I could understand it...
doesn't work

I can say that it's not completely DMZed because , when I remove the UTM from the connection and put the cable directly into the PC, or use USB tethering from my phone I can properly achieve what I'm trying to do...
also 
when having a look at the live-log I can see that there are white lines, 
concerning the PC, who is alone on the interface, wich is on a different subnet, so I can't be mistaken , in theory there should be red and green lines right?


Please , please , please,  HOW can I DMZ  1 interface, there has to be someone who knows the recipe ?


This thread was automatically locked due to age.
Parents
  • 0
    What is the objective for the DNAT rule, are you hosting a server that needs to be accessed from the Internet? If so change the destination from the DMZ Address to the IP address of the server that is located in the DMZ network. Otherwise, delete/disable the DNAT and Firewall rule #4. 

    If you wanted to simplify your firewall rules you could use the Internet object in place of the ANY IPv4 object and then you would not need to implement Firewall rule #1. What you have is perfectly fine it is just a matter of preference.

    With that being said I don't see anything that would relate to the issue you describe of problems browsing the Internet when connected with the OpenVpn server. Are you using webfiltering and IPS? What is in the logs (Firewall, Web filtering, IPS etc) when you are having the problem? What is the specific error in the browser timeout, dns ....?
  • 0 in reply to dilandau
    What is the objective for the DNAT rule, are you hosting a server that needs to be accessed from the Internet? If so change the destination from the DMZ Address to the IP address of the server that is located in the DMZ network. Otherwise, delete/disable the DNAT and Firewall rule #4. 

    If you wanted to simplify your firewall rules you could use the Internet object in place of the ANY IPv4 object and then you would not need to implement Firewall rule #1. What you have is perfectly fine it is just a matter of preference.

    With that being said I don't see anything that would relate to the issue you describe of problems browsing the Internet when connected with the OpenVpn server. Are you using webfiltering and IPS? What is in the logs (Firewall, Web filtering, IPS etc) when you are having the problem? What is the specific error in the browser timeout, dns ....?


    @ Balfson
    as Dilandau suggested, I disabled the DNAT rule ,
    because
    I'm not running the OpenVpn server
    I'm running the OpenVpn client on the DMZ interface( because I couldn't get it to work on the main interface) 
    since, I'm not running a server I don't need to allow a path for unsollicited packets FROM the external interface TO the device located on the DMZed interface, right?

    besides, packets hitting the external interface on port80 are already DNATed to a server located on the 'main' internal interface
    also
    theses are the ports my OpenVPn client has to use in order to connect ot the OpenVpn server:
    UDP ports #9201 #1194 #8080 #53
    TCP ports #443 #110 #80
    so,
    I cannot have 8080, 80 and 443 going to the DMZ interface they are already DNATed to some devices on another internal interface....

    here's an idea , 
    can I put a DNAT rule in front  of the existing ones, 
    that would send packets hitting the external interface "coming from a specified location", going to the DMZed interface instead of going to the regular servers...
    and if the packets are NOT from this location, then they would be sent to the regular device on the regular internal interface?

    does that makes sense?
Reply
  • 0 in reply to dilandau
    What is the objective for the DNAT rule, are you hosting a server that needs to be accessed from the Internet? If so change the destination from the DMZ Address to the IP address of the server that is located in the DMZ network. Otherwise, delete/disable the DNAT and Firewall rule #4. 

    If you wanted to simplify your firewall rules you could use the Internet object in place of the ANY IPv4 object and then you would not need to implement Firewall rule #1. What you have is perfectly fine it is just a matter of preference.

    With that being said I don't see anything that would relate to the issue you describe of problems browsing the Internet when connected with the OpenVpn server. Are you using webfiltering and IPS? What is in the logs (Firewall, Web filtering, IPS etc) when you are having the problem? What is the specific error in the browser timeout, dns ....?


    @ Balfson
    as Dilandau suggested, I disabled the DNAT rule ,
    because
    I'm not running the OpenVpn server
    I'm running the OpenVpn client on the DMZ interface( because I couldn't get it to work on the main interface) 
    since, I'm not running a server I don't need to allow a path for unsollicited packets FROM the external interface TO the device located on the DMZed interface, right?

    besides, packets hitting the external interface on port80 are already DNATed to a server located on the 'main' internal interface
    also
    theses are the ports my OpenVPn client has to use in order to connect ot the OpenVpn server:
    UDP ports #9201 #1194 #8080 #53
    TCP ports #443 #110 #80
    so,
    I cannot have 8080, 80 and 443 going to the DMZ interface they are already DNATed to some devices on another internal interface....

    here's an idea , 
    can I put a DNAT rule in front  of the existing ones, 
    that would send packets hitting the external interface "coming from a specified location", going to the DMZed interface instead of going to the regular servers...
    and if the packets are NOT from this location, then they would be sent to the regular device on the regular internal interface?

    does that makes sense?
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?

Unfiltered HTML