Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 5202 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

multiple apps battling for port 443

nickp_01
Hi All, 

I'm new so please excuse me if this has been answered / listed. I was unable to see. 

We have a UTM220 with a BT Openreach modem being dialled via PPPoE. This has our one public IP address hosted on it which is the address for external WAN. 

We use MS Exchange, so port 443 is used for OWA, this has been fine for some time, we are now looking to publish CRM for one of our apps, but have been told this is hardcoded for external access on port 443 also. 

I'm trying to find the best way of doing this, without having a separate connection, with another public IP, just to allow access to this program. 

Server cannot be in DMZ as requires data access to our ERP server. 

Any ideas please?

thanks in advance

Nick


This thread was automatically locked due to age.
  • 0
    Hi, Nick, and welcome to the User BB!

    I'm not familiar with how it works on your side of the Pond, but it should be the same as here.  You should be able to get a small block of fixed IPs so that you can have separate ones for OWA, CRM, etc.  Then, just add Additional Addresses to the External interface.  Or, use different ports for access from the outside and have the NAT rule change that back to 443.

    If you have Full Guard, you have another option - Webserver Protection.  Instead of a NAT rule that depends only on the IP address, a Virtual Server definition looks at the URL to determine whether the traffic qualifies for it.

    Cheers - Bob
  • 0
    Hi Bob, 

    thank you for the welcome and the reply. 

    Unfortunately, we are unable to change the port numbers (we did try [:)]), how do the firewall rules work when the IP addresses are tied to the same interface, as we only seem to be able to select the interface in the NAT rules and surely all 443 requests will follow the same rule?

    Regards

    Nick
  • 0
    Your ISP can give you a block of IPs on the same Subnet. 
    To use those extra IPs go to Interfaces & Routing ->Interfaces -> Additional Addresses.

    Now click New Additional Address
    Pick a Name: OWA, CRM, etc
    Select your WAN interface
    Select the IP that you want to use from the block your ISP gave you, and the subnet you want to use. I normally just use /32 for server IPs
  • 0
    Ok thanks NewImage, 

    but the thing im not understanding, is how do you differentiate in the NAT rules / firewall, as the source is just "Wan Interface", do you get the option to choose external IP?

    Nick
  • 0
    Unfortunately, we are unable to change the port numbers (we did try )

    Please click on [Go Advanced] below and attach a picture of the NAT rule(s) that failed to do what you want.  Also, review #3 through #5 in Rulz.

    I can't think of anything other than an SNAT for traffic going to Internet that would have as source the WAN interface.

    Cheers - Bob
  • 0
    Yes
    You can make NAT rules based on the new additional addresses. I use SNAT when my server is trying to reach the internet (I'm the source), and DNAT when users try to access my server(I'm the Destination). 

    An example of a DNAT rule so the outside can access your internal server at the new additional IP address you just made could be something like this: ( Might want to look into using the web-server proxys for added protection and not do a DNAT so an attacker is not talking directly to your server)

    RuleType: DNAT (Destination)

    Matching Condition
        For Traffic from : Internet IPv4
        Using service: HTTPS (Could be a group of Services)
        Going to : External CRM (Address) ( this will be an object that will be automatically created after making an additional interface called External CRM, in addition to External CMR (Address) there will also be External CMR (Network) and External CMR (Broadcast) that will be created)

    Action
        Change to the destination to: Internal HTTPS Server (192.169.1.2)
        And the service to: Leave this blank, you only need to fill this in if you are changing the port

    Check Automatic Firewall rule box, this way you don't need to make a firewall rule in addition to the DNAT.