Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 1 subscriber
  • Views 8968 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM blocks internal web traffic via public IP on port 80

politby
Greetings,

I have my UTM running in bridged mode behind a Mikrotik router. I.e. the UTM is not doing NAT, DNS, or DHCP.

This works great, except for one thing: Web filtering blocks any  traffic from my LAN addressed to port 80 or 443 on any host on my LAN when going via the public IP.  Just these two ports. No other forwarded ports are blocked.
Access by local IP works fine for all ports.

My public IP is 176.10.x.x and the local IP of my web server is 192.168.2.2 

So from a host on the local network,

http://192.168.2.2 or https://192.168.2.2 

works, while

http://176.10.x.x or https://176.10.x.x

does not.

I can forward ANY WAN port to ANY port except 80 or 443 on ANY host on the LAN and it works fine. But port 80 and 443 remain reachable from the WAN only, regardless of which host it is forwarded to. 


If I switch web filtering off completely, the problem disappears. What sort of exceptions do I have to set up?


This thread was automatically locked due to age.
Parents
  • 0
    This is basic routing and the problem would occur even without the UTM in the mix - the server is sending the response traffic directly back to the clients and they are ignoring the packets as they were not requested from the local IP.

    You have two options: either create split DNS where internal clients get the internal IP instead of the public IP, or, in the Mikrotik, create a Full NAT for traffic from the LAN.  See Accessing Internal or DMZ Webserver from Internal Network.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    This is basic routing and the problem would occur even without the UTM in the mix - the server is sending the response traffic directly back to the clients and they are ignoring the packets as they were not requested from the local IP.

    You have two options: either create split DNS where internal clients get the internal IP instead of the public IP, or, in the Mikrotik, create a Full NAT for traffic from the LAN.  See Accessing Internal or DMZ Webserver from Internal Network.

    Cheers - Bob


    Thanks, Bob, but I don't think you read all of my post. I have a hairpin NAT set up in the Mikrotik and it works perfectly with any port except 80 and 443, which are blocked by the UTM. If I switch off web filtering, effectively removing the UTM from the chain, the problem disappears.
Reply
  • 0 in reply to BAlfson
    This is basic routing and the problem would occur even without the UTM in the mix - the server is sending the response traffic directly back to the clients and they are ignoring the packets as they were not requested from the local IP.

    You have two options: either create split DNS where internal clients get the internal IP instead of the public IP, or, in the Mikrotik, create a Full NAT for traffic from the LAN.  See Accessing Internal or DMZ Webserver from Internal Network.

    Cheers - Bob


    Thanks, Bob, but I don't think you read all of my post. I have a hairpin NAT set up in the Mikrotik and it works perfectly with any port except 80 and 443, which are blocked by the UTM. If I switch off web filtering, effectively removing the UTM from the chain, the problem disappears.
Children
No Data
Unfiltered HTML