Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 1 subscriber
  • Views 2398 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

understand traffic from realwebserver to outside

jcotonou
Hello
i use this config in intranet environnement.
could you help to understand why traffic is rejected by waf.
i have :
 
real1(2.2.2.2) http  -----> Virtual(3.3.3.4)   and nfs_server(3.3.3.3)
                       +
          NFS_share( mount 3.3.3.3:/remote/export .....)




ping from real1  to nsfserver  : OK
http(3.3.3.4)  : i get cannot access page 

i have not set DNAT OR NAT :
i set allow access for virt (3.3.3.4)  on my nfs_server

Question :
what is the IP address for NFS trafic from real1 to nfs_server ?
NFSclient use virtual ip to access share server ?

 Thanks


This thread was automatically locked due to age.
  • 0
    A Virtual Server only handles HTTP or HTTPS.  It won't forward pings, nor will it handle the TCP/UDP ports needed for NFS.

    You can do those things with a DNAT, but be careful to NOT include HTTP/S in the DNAT because of what I call Rule #2:

    In general, a packet arriving at an interface is handled only by one of the following, in order:
    DNATs first, then VPNs and Proxies and, finally, manual Routes and Firewall rules.


    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hello
    it's means that for real1 to mount nsf share, i have to set snat ?
     What can i do mount nfs share in the case.
     real1 is then client nfs and another server(3.3.3.3)
    Thanks
  • 0
    What is the network topology?  Is it real1UTMnfs_server?  If so, are the two interfaces bridged, or are you using masquerading?  Do you have Firewall rules allowing NFS traffic?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Yes it's my network topolgy. what is the best practice to allow nfs traffic between real1 and  nfs server ?
  • 0
    Since both servers are in networks connected directly to the UTM, all that's needed is a Firewall rule allowing the traffic.  WebAdmin automatically created the necessary routes when the networks were defined on the interfaces.  Watch the Firewall Live Log to see if there are any NFS packets being blocked.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hello
    thanks for help. 
    it's seem that NFS port is dynamic ? Which tcp/udp port can i allow for firewall rule
    thanks
  • 0
    It's seem that i have problem ' Accessing Internal or DMZ Webserver from Internal network ' . I don't unterstand step to use to resolve bug.
    My Network toplogy is :

    internal network(3.3.3.0/x)     dmz(2.2.2.2/x)    
    waf virtual address(3.3.3.4)     real server:real1(2.2.2.2)

    i do not use wan(interface) only internal and dmz interface is up.
    real1 is my intranet and i put them in dmz.
    virtual adress is interface to allow user to access intranet web server.

    when internal user make http request , real1 icon become yello.
    could you explain why to resolve problem:
  • 0
    I think you have to modify the configuration in the NFS server to restrict the ports it selects.

    I think the yellow icon is something to do with response time.  The only time I've ever seen it is when the Real Server is in a hosting center far away from the Vitrual server configured in WebAdmin.  It still works though.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML