Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 3074 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

NAT won't forward to DMZ IP

davery23
Hi I have UTM 9.206-35 and I'm rebuilding a DNAT which I had previously forwarded to a windows IIS web server on my internal subnet but now I've built a linux apache server with NICs on my inside and DMZ subnets and I want the outside world to hit the DMZ IP.

It was working when it was set for the inside network destination but after re-creating it doesn't seem to want to work on either side now.

I can see with Inital Packets logged check the traffic hit the external address and allowed by the NAT rule but the destination server doesn't see any activity.

Gateway
Inside: 192.168.4.1
DMZ: 10.1.100.1

Apache host:
Inside: 192.168.4.4
DMZ: 10.1.100.3

DNAT RULE#8: 
FROM:ANY(1:65535/tcp) TO:External (Address)(65080/tcp) DestinationNAT:10.1.100.3(80/tcp)


I see the DNAT in my iptables:
USR_OUTPUT:


USR_PRE:


and I see the initial packets in the live log 

but no matter whether I use automatic or manual firewall rules I see nothing else.

from the looks of the USR_OUTPUT there's 0 packets so it seems like something is breaking down at the rule.


This thread was automatically locked due to age.
Parents
  • 0
    yep I think I've checked everything, for 3-5. Like I mentioned in the last bit that 3.1 pointed out that I didn't have a gateway IP set on the DMZ nic of the destination host but after adding and rebooting still no go.

    (route table below on the destination)
    ~$ route -n
    Kernel IP routing table
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    0.0.0.0         192.168.4.1     0.0.0.0         UG    0      0        0 eth0
    0.0.0.0         10.1.100.1      0.0.0.0         UG    1      0        0 eth1
    10.1.100.0      0.0.0.0         255.255.255.0   U     1      0        0 eth1
    172.16.255.0    0.0.0.0         255.255.255.0   U     0      0        0 eth3
    172.16.255.0    0.0.0.0         255.255.255.0   U     0      0        0 eth4
    172.16.255.0    0.0.0.0         255.255.255.0   U     0      0        0 eth2
    172.16.255.0    0.0.0.0         255.255.255.0   U     0      0        0 eth5
    192.168.4.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0

    (arp table on the destination host)
    ~$ arp -n
    Address                  HWtype  HWaddress           Flags Mask            Iface
    192.168.4.10                     (incomplete)                              eth0
    10.1.100.1               ether   00:0c:29:c7:bf:84   C                     eth1
    192.168.4.2              ether   00:0c:29:98:16:97   C                     eth0
    172.16.255.1             ether   00:04:23:9a:bd:92   C                     eth3
    192.168.4.6              ether   00:04:4b:03:c6:84   C                     eth0
    192.168.4.1              ether   00:0c:29:c7:bf:70   C                     eth0
    10.1.100.4               ether   00:0c:29:fa:65:51   C                     eth1
    192.168.4.5              ether   00:0c:29:53:be:64   C                     eth0
    192.168.4.3              ether   00:0c:29:4e:76:fa   C                     eth0


    The UTM didn't have the destination host in the arp table but even after pinging it successfully and verifying it was in the arp cache the DNAT rule still didn't work.

    I'm going to delete everything relative to this DNAT rule (the rule, host definition, service definition) and reboot the firewall and try again.

    Thanks for your time looking at this Bob [:)]
Reply
  • 0
    yep I think I've checked everything, for 3-5. Like I mentioned in the last bit that 3.1 pointed out that I didn't have a gateway IP set on the DMZ nic of the destination host but after adding and rebooting still no go.

    (route table below on the destination)
    ~$ route -n
    Kernel IP routing table
    Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
    0.0.0.0         192.168.4.1     0.0.0.0         UG    0      0        0 eth0
    0.0.0.0         10.1.100.1      0.0.0.0         UG    1      0        0 eth1
    10.1.100.0      0.0.0.0         255.255.255.0   U     1      0        0 eth1
    172.16.255.0    0.0.0.0         255.255.255.0   U     0      0        0 eth3
    172.16.255.0    0.0.0.0         255.255.255.0   U     0      0        0 eth4
    172.16.255.0    0.0.0.0         255.255.255.0   U     0      0        0 eth2
    172.16.255.0    0.0.0.0         255.255.255.0   U     0      0        0 eth5
    192.168.4.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0

    (arp table on the destination host)
    ~$ arp -n
    Address                  HWtype  HWaddress           Flags Mask            Iface
    192.168.4.10                     (incomplete)                              eth0
    10.1.100.1               ether   00:0c:29:c7:bf:84   C                     eth1
    192.168.4.2              ether   00:0c:29:98:16:97   C                     eth0
    172.16.255.1             ether   00:04:23:9a:bd:92   C                     eth3
    192.168.4.6              ether   00:04:4b:03:c6:84   C                     eth0
    192.168.4.1              ether   00:0c:29:c7:bf:70   C                     eth0
    10.1.100.4               ether   00:0c:29:fa:65:51   C                     eth1
    192.168.4.5              ether   00:0c:29:53:be:64   C                     eth0
    192.168.4.3              ether   00:0c:29:4e:76:fa   C                     eth0


    The UTM didn't have the destination host in the arp table but even after pinging it successfully and verifying it was in the arp cache the DNAT rule still didn't work.

    I'm going to delete everything relative to this DNAT rule (the rule, host definition, service definition) and reboot the firewall and try again.

    Thanks for your time looking at this Bob [:)]
Children
No Data