This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

WAF traffic and NAT

Hi All

This is my set up:
1)I have a QNAP on my internal network that can be reached via port 8080 (the server has the option to authenticate someone using SSL if needed)

In order for users on the outside network to get access to my internal web server I had a DNAT set up in place which works fine. 

I 've now enabled WAF on port 9995 using SSL. 
Virtual Web server: 9995 using SSL
Real Server:8080 no SSL

What I would like to do is to allow people to connect to that internal server ONLY by using that 9995 port(WAF set up). However, I am facing the following issues:

1) When people connect to https://**********:9995 and they acknowledge the certificate, the QNAP will automatically assume that I want to login using SSL. This is not the case if I login via port 8080 directly(i.e not use the WAF). However, I've noticed that If I change the virtual web server to use plain HTTP instead, I can't longer see the SSL option enabled on the internal server

2) If I block the DNAT I am only able to browse up to the login page of my server but unable to authenticate as the URL redirects to port 8080 


Questions:

Is issue 1 the way it should be configured or is it a bug? How can I achieve point 2? (I want to totally remove the DNAT and the only way for someone to connect to the internal NAS should be via WAF-i.e. specific port that redirects the whatever port I have configured internally)

Thanks


This thread was automatically locked due to age.
  • Hi Wingman, 

    have you tried enabling URL Rewrite? This should re-write (as the name says) all URLs within the web server page to the new IP/Port setup. If it helps a bit: I use the WAF together with a Synology NAS on port 5000 and port rewrite works.

    Christian
  • Based on the information you have provided the QNAP seems like it looks at whether the web browser is hitting HTTP or HTTPS and then uses the logic. I would contact QNAP and see if there is a way to disable this feature.
  • Hi Wingman, 

    have you tried enabling URL Rewrite? This should re-write (as the name says) all URLs within the web server page to the new IP/Port setup. If it helps a bit: I use the WAF together with a Synology NAS on port 5000 and port rewrite works.

    Christian


    Hi Cristian

    I've enabled the option but I still get blocks on my firewall regarding accessing the NAS port 

    81.***.***.147 : 51665 → :8080 

    Allowing the NAT entry will work(since it will allow the connection) but that's not the intented behaviour.
     
    Do you mind letting me know how your WAF is set up and whether you have a NAT/firewall rule for accessing Synology?

    Thanks
    Pantelis
  • Hi All

    After further troubleshooting, it seems that if I select the "no firewall profile" it works fine with "HTML Rewriting" and "Pass Host Header" enabled. I will try enabling bit by bit the option I want to see what is causing the issue

    update:
    It seems that "Cross Site Scripting" is causing that to happen. It takes a long time (after the user enters the credential) to connect ( about 10 minutes!) .Removing that feature seem to allow the users to instantaneously connect with no issues 

    Thanks