Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 1 subscriber
  • Views 3778 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Webservers behind UTM9

ShadowBumble
Hi there,

I am running into a problem with the UTM setup i currently have with the Web Server Security module in the UTM.

Reference:
Here's my setup for reference :

Internet -------> UTM9 ---------> LAN Network

It's pretty straight forward i only have 1 WAN address en behind the Astaro i run a simple /26 subnet. The UTM has a simple home license as it is my personal test environment.

On this LAN network there is an Apache server configured with virtual hosts, Apache is configured correct and working. So i wanted to try out the Web Server Security Module on how well it would cope.

The Problem :
When i create a "new" real server in the module, i bind it straight to the IP the server has and i create a Virtual Webserver where i bind a SUBdomain to the actual server with the advanced security profile and make the relation between this virtual server and the real webserver.

So far so good, but here comes the catch when i browse the subdomain it will always land in the default "webpage" of the server, and it doesn't seem to recognize the Virtual Host.

I have tested by checking both options once in the virtual webserver " Pass Post Header" and "rewrite html url" ( or something currently not able to check and reach the UTM from here ).

Work Around & Tests :
We can conclude the following :

- There is connectivity trough the UTM from the Internet ===> Webserver
- When turning off WSS and creating a NAT setup to NAT all http traffic straight to the real webserver the virtual hosts work perfectly fine.

But what did you try yourself then ?

When in the preferred setup with WSS is tied to map a DNS static entry with the exact name as the virtual host to the internal ip address, which didn't work. So since i spend the majority of the night figuring this out and since it works in a NAT setup i decide to post it here also and kinda hoping for similar situations ( Maybe a bug ?????? ) but it will most likely end up with a simple solution that i have overlooked [:)].

If you made it this far thanks for reading.


This thread was automatically locked due to age.
  • 0
    Hi ShadowBumble,

    I can confirm that the webserver protection setup is somehow tricky and nasty.

    The advantage of WSS to NAT is the more secure connection a reverse proxy offers than a straight NAT rule.

    I had quite good results by: 

    - only maping one domain to a real server.
    - leaving the html rewriting function deactivated
    - host header function activated

    I'm not shure if it does anything pro or contra the working scenario, but I but the name of the real server the same as the domain name in virtual server.

    I hope this could help a bit...

    Cheers
    Marcus
  • 0
    I had to install the "rpaf" module in Apache and have the host header enabled. In rpaf.conf you specify the RPAFproxy_ips variable to show the UTM IP which is proxying the HTTP requests. So for example, I set up an internal /24 on the UTM which my web servers sit behind and the proxy IP is the gateway for that range which is assigned to the UTM.
  • 0
    1) WSS is more secure than NAT rules 
    2) your wan ip http://x.x.x.x is no more reachable
    3) you can define real-webservers by ports in the same hardware 
    4) you have no need to register services (ports) in the name-server where your domain is registered 
    5) WSS purpose is not for internal requests
Unfiltered HTML