Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 2914 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

NAT rule for DMZ webserver to get system updates

unexpected
Hello all, 

I'm on UTM9 FW 9.105-9 right now. 

Short version: 
I installes a linux webserver in a DMZ and everything works fine. You can open the http address from the internet. 
Now I like to have access to the internet from my webserver for installing system updates and new programs but I don't get it to work. 


Long version: 
My setup: 

physical webserver (NOT the UTM9): 
em2: 192.168.100.100/29 - webserver ip for the internet 
em1: 192.168.90.100/29 - server ip for client users (intern) 

UTM9 Interfaces & Routing: 
Interfaces: 
eth8: permanent ip [195.171.192.81/29] - this is the ipaddress for internet users to reach the webserver 
eth7: DMZ GW [192.168.100.97/29] - the webserver is connected to this port with em2 
eth5: intern GW [192.168.90.97/29] - the webserver is connected to this port with em1 
eth2: intern [Trusted] [192.168.48.0/24] - the intranet clients (over a switch) are connected this port 

UTM9 Network Protection: 
Firewall / Rules :
1: intern [Trusted] (Network) >> HTTP / HTTPS / MySQL / SSH >> webserver INTERN [Host: 192.168.90.100/29] - intranet client access to the webserver over http/s, MySQL and SSH (puTTY) 
2: Any >> HTTP / HTTPS >> webserver EXTERN [Host: 192.168.100.100/29] - internet user access to the webserver (195.171.192.81) over http/s 
3: webserver EXTERN [Host: 192.168.100.100/29] >> HTTP / HTTPS >> Any - update access from the server to the internet over http/s 

UTM9 Network Protection: 
NAT / Masquerading: intern [Trusted] (Network) >> intern GW [eth5] 
NAT / NAT: 1: DNAT | Any >> HTTP >> permanent ip [eth8] (Network) | Action | Destination: webserver EXTERN [Host: 192.168.100.100/29] 
NAT / NAT: 2: DNAT | Any >> HTTPS >> permanent ip [eth8] (Network) | Action | Destination: webserver EXTERN [Host: 192.168.100.100/29] 
NAT / NAT: 3: *boom* I'm lost... 

For NAT/NAT rule #3 I don't know exactly what to define. This one should be for the internet access from the server to the internet; for system updates and new programms. 
I tried rule #1 as SNAT in the other way around (e.g. permanent ip [eth8] (Network) >> HTTP >> Any | Action | Destination: webserver EXTERN [Host: 192.168.100.100/29]) but it didn't work out. 
I tried also some different versions SNAT/DNAT and addresses, networks, hosts, but I can't get it to run. 

So please enlighten me with a hint or the solution. Pleeeease. 
Thanks


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to BarryG

    DMZ Network -> External/WAN ADDRESS


    Hello Berry. 
    Yeah, so simple was it. Just like you wrote. 
    Additionally I used a wrong GW in the 'em2' of the server, so it couldn't be going. [:@] 
    And in the first line I used the DMZ Network (eth7) >> eth8 for Masquerading. 
    But there is no GW defined in eth8, so I won't reach the modem. 
    Similar to intern [Trusted] (eth2 >> ISP External (eth1) I use now DMZ Network (eth7) >> ISP External (eth1) where the default GW is defined and now everything works fine. 

    Thanks for pushing my brain.