Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 2912 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

NAT rule for DMZ webserver to get system updates

unexpected
Hello all, 

I'm on UTM9 FW 9.105-9 right now. 

Short version: 
I installes a linux webserver in a DMZ and everything works fine. You can open the http address from the internet. 
Now I like to have access to the internet from my webserver for installing system updates and new programs but I don't get it to work. 


Long version: 
My setup: 

physical webserver (NOT the UTM9): 
em2: 192.168.100.100/29 - webserver ip for the internet 
em1: 192.168.90.100/29 - server ip for client users (intern) 

UTM9 Interfaces & Routing: 
Interfaces: 
eth8: permanent ip [195.171.192.81/29] - this is the ipaddress for internet users to reach the webserver 
eth7: DMZ GW [192.168.100.97/29] - the webserver is connected to this port with em2 
eth5: intern GW [192.168.90.97/29] - the webserver is connected to this port with em1 
eth2: intern [Trusted] [192.168.48.0/24] - the intranet clients (over a switch) are connected this port 

UTM9 Network Protection: 
Firewall / Rules :
1: intern [Trusted] (Network) >> HTTP / HTTPS / MySQL / SSH >> webserver INTERN [Host: 192.168.90.100/29] - intranet client access to the webserver over http/s, MySQL and SSH (puTTY) 
2: Any >> HTTP / HTTPS >> webserver EXTERN [Host: 192.168.100.100/29] - internet user access to the webserver (195.171.192.81) over http/s 
3: webserver EXTERN [Host: 192.168.100.100/29] >> HTTP / HTTPS >> Any - update access from the server to the internet over http/s 

UTM9 Network Protection: 
NAT / Masquerading: intern [Trusted] (Network) >> intern GW [eth5] 
NAT / NAT: 1: DNAT | Any >> HTTP >> permanent ip [eth8] (Network) | Action | Destination: webserver EXTERN [Host: 192.168.100.100/29] 
NAT / NAT: 2: DNAT | Any >> HTTPS >> permanent ip [eth8] (Network) | Action | Destination: webserver EXTERN [Host: 192.168.100.100/29] 
NAT / NAT: 3: *boom* I'm lost... 

For NAT/NAT rule #3 I don't know exactly what to define. This one should be for the internet access from the server to the internet; for system updates and new programms. 
I tried rule #1 as SNAT in the other way around (e.g. permanent ip [eth8] (Network) >> HTTP >> Any | Action | Destination: webserver EXTERN [Host: 192.168.100.100/29]) but it didn't work out. 
I tried also some different versions SNAT/DNAT and addresses, networks, hosts, but I can't get it to run. 

So please enlighten me with a hint or the solution. Pleeeease. 
Thanks


This thread was automatically locked due to age.
  • 0
    Hi, 

    If your WebServer is in a DMZ instead of in the 'Trusted' LAN, then you need a Masquerading rule for the DMZ (or you can use an SNAT if you prefer).

    You will also need firewall rules for the outgoing traffic.

    If you still need help, please post a network diagram, as I'm a little confused by the dual NICs in the webserver.

    Barry
  • 0 in reply to BarryG
    If your WebServer is in a DMZ instead of in the 'Trusted' LAN, then you need a Masquerading rule for the DMZ (or you can use an SNAT if you prefer).

    The 'Trusted' LAN is for the internal staff. 
    You will also need firewall rules for the outgoing traffic.


    I have one. 
    3: webserver EXTERN [Host: 192.168.100.100/29] >> HTTP / HTTPS >> Any - update access from the server to the internet over http/s 

    If you still need help, please post a network diagram, as I'm a little confused by the dual NICs in the webserver.
    Barry

    Thanks Barry, yes indeed I still need help. 
    As I wrote before I don't get it to run over SNAT & Co. 

    Forget abot the second NIC in the server, that is just a separate access path for the staff. 

    Importent things are: 

    physical webserver (NOT the UTM9): 
    em2: 192.168.100.100/29 - webserver ip for the internet 

    UTM9 Interfaces & Routing: 
    Interfaces: 
    eth8: permanent ip [195.171.192.81/29] - this is the ipaddress for internet users to reach the webserver 
    eth7: DMZ GW [192.168.100.97/29] - the webserver is connected to this port with em2 

    UTM9 Network Protection: 
    Firewall / Rules :
    3: webserver EXTERN [Host: 192.168.100.100/29] >> HTTP / HTTPS >> Any - update access from the server to the internet over http/s 

    UTM9 Network Protection: 
    NAT / NAT: 3: *boom* I'm lost... DNAT / SNAT... the details are importent and I don't get it together.
  • 0
    Hi, do you have Masquerading enabled for the DMZ in the UTM?

    e.g. 
    DMZ Network -> External/WAN ADDRESS
    ?

    Barry
  • 0 in reply to BarryG

    DMZ Network -> External/WAN ADDRESS


    Hello Berry. 
    Yeah, so simple was it. Just like you wrote. 
    Additionally I used a wrong GW in the 'em2' of the server, so it couldn't be going. [:@] 
    And in the first line I used the DMZ Network (eth7) >> eth8 for Masquerading. 
    But there is no GW defined in eth8, so I won't reach the modem. 
    Similar to intern [Trusted] (eth2 >> ISP External (eth1) I use now DMZ Network (eth7) >> ISP External (eth1) where the default GW is defined and now everything works fine. 

    Thanks for pushing my brain.