Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 1922 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNAT failure

itadmin@shastapools.com
Ok I am sure it is my fault somewhere.. Being new to the Sophos world I did all my homework and still can not make it work. I was on hold with support for 2 hours before finally leaving a message for a call back.

UTM 425 ver 9.2 is up and working. All inside can go out and it works fine.

I created DNAT to outside IP, http, translated to internal and leave checkbox for automatic firewall rule.

It will not allow traffic in to my firewall still.

I have an ip assigned to wan 55.55.55.194/27

When I create the DNAT I assign ip 55.55.55.196 which is included in that WAN bock. DO I need to add that IP to assigned addresses or should it just work?


This thread was automatically locked due to age.
  • 0
    Hi, the IP you're using must be assigned in Interfaces, as a primary or additional address.

    Barry
  • 0
    To expand a bit on what Barry said:

    You've assigned a /27 to the interface.  UTM will only utilize the first address in that block.  Given this functionality, my preference is to change the interface assignment to the first usable address in the block as a /32.  Either way, then add each of the other addresses you've been assigned in the /27 on the additional addresses tab individually.  

    The format of the DNAT should be as follows:

    Matching Condition
    For traffic from: Internet IPv4 object
    Using service: HTTP
    Going to:  The additional address (Address) object

    Action
    Change the destination to:  The internal host object for your web server
    And the service to:  Leave blank unless changing ports

    Tick the box for Automatic Firewall rule.

    Test from a host where the traffic is entering from the WAN (somewhere out on the internet).  Should work perfectly.
  • 0
    Hi Scott, to me that reads: do not specify the /27 mask at all; that doesn't seem right to me.

    Barry
  • 0
    It really doesn't matter either way in terms of functionality, others who look at the configuration may assume that setting /27 would mean that all addresses in the block could be utilized, as the op has done.  I use /32 on the interface and for additional addresses to remove that assumption for documentation purposes, makes life easier for audits and such.

    I've edited my post above to change verbage.
  • 0
    Barry, years ago, one of the Astaro developers explained that the ASG/UTM "knows" how to reach the default gateway even if that IP isn't inside the subnet defined in WebAdmin on the interface.  I agree with you and don't think that is the case for other routers.

    I agree with Scott that there's no practical purpose of having anything other than /32 there in all situations where the UTM is at the edge.

    Cheers - Bob
  • 0
    I'm guessing it changes it to a /24 if you put in a /32 (ifconfig would confirm - Scott, please try it).

    This would work out for most users, but not all.

    Barry