Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 1 subscriber
  • Views 8960 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM blocks internal web traffic via public IP on port 80

politby
Greetings,

I have my UTM running in bridged mode behind a Mikrotik router. I.e. the UTM is not doing NAT, DNS, or DHCP.

This works great, except for one thing: Web filtering blocks any  traffic from my LAN addressed to port 80 or 443 on any host on my LAN when going via the public IP.  Just these two ports. No other forwarded ports are blocked.
Access by local IP works fine for all ports.

My public IP is 176.10.x.x and the local IP of my web server is 192.168.2.2 

So from a host on the local network,

http://192.168.2.2 or https://192.168.2.2 

works, while

http://176.10.x.x or https://176.10.x.x

does not.

I can forward ANY WAN port to ANY port except 80 or 443 on ANY host on the LAN and it works fine. But port 80 and 443 remain reachable from the WAN only, regardless of which host it is forwarded to. 


If I switch web filtering off completely, the problem disappears. What sort of exceptions do I have to set up?


This thread was automatically locked due to age.
  • 0
    first try would be to enter on IE/any browser a Proxy exclusion for your LANs

    Is your porxy in Standard or transperent mode?
  • 0
    The proxy is in full transparent mode.

    Below are log file messages ("xx.org" represents the domain resolving to my public IP). 192.168.2.120 is the client, 192.168.2.1 is the router.

    I have tried all manner of exceptions but the only way to stop the blocking seems to be to switch off web filtering.

    And why is it only blocking 80 and 443? I have more than 10 other http and https ports forwarded in exactly the same way and none of  them are blocked.

    http request:

    2015:07:16-08:58:46 sophosutm httpproxy[11635]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.2.120" dstip="176.10.x.x" user="" ad_domain="" statuscode="504" cached="0" profile="REF_HttProContaInterNetwo (Allmän)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2644" request="0xe27d5000" url="xx.org/.../537.36" exceptions="" country="Sweden" category="9998" reputation="unverified" categoryname="Uncategorized"
    2015:07:16-08:58:46 sophosutm httpproxy[11635]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.2.1" dstip="176.10.x.x" user="" ad_domain="" statuscode="504" cached="0" profile="REF_HttProContaInterNetwo (Allmän)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="2632" request="0xe1e13800" url="xx.org/.../537.36" exceptions="" country="Sweden" category="9998" reputation="unverified" categoryname="Uncategorized"



    https request:

    2015:07:16-09:00:25 sophosutm httpproxy[11635]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="CONNECT" srcip="192.168.2.120" dstip="176.10.x.x" user="" ad_domain="" statuscode="504" cached="0" profile="REF_HttProContaInterNetwo (Allmän)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" request="0xe1df1800" url="remote.xx.org/" referer="" error="Connection to server timed out" authtime="0" dnstime="3" cattime="182" avscantime="0" fullreqtime="60268491" device="0" auth="0" ua="" exceptions="" country="Sweden" category="9998" reputation="unverified" categoryname="Uncategorized"
    2015:07:16-09:00:25 sophosutm httpproxy[11635]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="CONNECT" srcip="192.168.2.1" dstip="176.10.x.x" user="" ad_domain="" statuscode="504" cached="0" profile="REF_HttProContaInterNetwo (Allmän)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="0" request="0x8e43000" url="remote.xx.org/" referer="" error="Connection to server timed out" authtime="0" dnstime="3" cattime="112" avscantime="0" fullreqtime="60266503" device="0" auth="0" ua="" exceptions="" country="Sweden" category="9998" reputation="unverified" categoryname="Uncategorized"
  • 0
    This is basic routing and the problem would occur even without the UTM in the mix - the server is sending the response traffic directly back to the clients and they are ignoring the packets as they were not requested from the local IP.

    You have two options: either create split DNS where internal clients get the internal IP instead of the public IP, or, in the Mikrotik, create a Full NAT for traffic from the LAN.  See Accessing Internal or DMZ Webserver from Internal Network.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    This is basic routing and the problem would occur even without the UTM in the mix - the server is sending the response traffic directly back to the clients and they are ignoring the packets as they were not requested from the local IP.

    You have two options: either create split DNS where internal clients get the internal IP instead of the public IP, or, in the Mikrotik, create a Full NAT for traffic from the LAN.  See Accessing Internal or DMZ Webserver from Internal Network.

    Cheers - Bob


    Thanks, Bob, but I don't think you read all of my post. I have a hairpin NAT set up in the Mikrotik and it works perfectly with any port except 80 and 443, which are blocked by the UTM. If I switch off web filtering, effectively removing the UTM from the chain, the problem disappears.
  • 0
    You're right, I didn't see that you were doing a "hairpin" NAT, and I didn't look at the lines from the log.  With a 504 code, if an Exception for Anti-Virus doesn't solve the problem, then you must add the public IP for the web server to the destination Skiplist.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    I have made exceptions for pretty much everything, including antivirus, URL scanning, including excluding my entire internal network from every type of scanning. Nothing will stop the UTM from blocking port 80 and 443, except disabling web filtering entirely.

    The problem is also not related to the specific host where my web server runs, if I change the NAT rule on the router to forward port 80, for instance, to a different host on the LAN, say the web interface on a switch, the UTM still blocks the traffic.

    And other ports, forwarded to the same host that runs the web server, also work fine.

    Like I said in the first post, I have other HTTP and HTTPS ports, e.g. 25, 993, forwarded to various hosts on the local network, all of which work fine when accessed both internally and from the Internet using the public IP.

    Maybe I should try bypassing the Mikrotik, but that will mean a lot of work.
  • 0
    I have made exceptions for pretty much everything
    Not an exception, try the Transparent Mode Skiplist at Web Protection > Filtering Options > Misc
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    I have already tried using the skip list and it did not change anything. This leads me to believe that the log messages about blocking are a red herring and the problem really lies somewhere else. Especially since it only affects wo ports. 

    I did not mention that I have migrated the UTM from a virtual machine over to a small Celeron system recently. The hardware is obviously different but I also reloaded the settings from the previous system into the new one. This problem with ports 80 and 443 was present before the migration, which might indicate a problem with the configuration that was carried over to the new platform.

    I am going to disconnect the Mikrotik  router and set up the UTM as a full router to see if that changes anything.
  • 0
    I am going to disconnect the Mikrotik router and set up the UTM as a full router to see if that changes anything.
    This should resolve the issue.  Please let us know.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    I have already tried using the skip list and it did not change anything.

    If you were still seeing blocks in the Web Filtering log after you did that, then the skip wasn't configured correctly.  Click on [Go Advanced] below and attach a picture if you want help with that.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML