Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 6305 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IIS logs show ip for Firewall instead of Client

gjkoz
I think I have some sort of Masquerading problem. When web traffic is logged to my IIS logs, it gets logged as the internal interface ip on my Firewall instead of the outside client's ip address. Is there a way to tweak the rules so I'm getting actual client ip addresses in my IIS logs?


This thread was automatically locked due to age.
  • 0
    Hi, are you using DNAT? That should work OK.

    Don't use FULL NAT.

    Or are you using the reverse proxy (Webserver Protection)?

    Barry
  • 0 in reply to BarryG
    I'm using a Webserver Protection rule to publish the webserver. It's a standard port 80 web server. The firewall is logging external ip's, but when I try to look at the iis logs, all the traffic from outside my network looks like this:

    2013-04-15 16:19:33 192.168.4.7 GET /images/title.png - 80 - 192.168.4.1 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+6.2;+WOW64;+Trident/6.0;+.NET4.0E;+.NET4.0C;+.NET+CLR+3.5.30729;+.NET+CLR+2.0.50727;+.NET+CLR+3.0.30729) http://www..com/ 304 0 0 9
    2013-04-15 16:19:33 192.168.4.7 GET /images/ico_facebook.png - 80 - 192.168.4.1 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+6.2;+WOW64;+Trident/6.0;+.NET4.0E;+.NET4.0C;+.NET+CLR+3.5.30729;+.NET+CLR+2.0.50727;+.NET+CLR+3.0.30729) http://www..com/ 304 0 0 11
    2013-04-15 16:19:33 192.168.4.7 GET /images/ico_linkedin.png - 80 - 192.168.4.1 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+6.2;+WOW64;+Trident/6.0;+.NET4.0E;+.NET4.0C;+.NET+CLR+3.5.30729;+.NET+CLR+2.0.50727;+.NET+CLR+3.0.30729) http://www..com/ 304 0 0 10
    2013-04-15 16:19:33 192.168.4.7 GET /images/ico_rss.png - 80 - 192.168.4.1 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+6.2;+WOW64;+Trident/6.0;+.NET4.0E;+.NET4.0C;+.NET+CLR+3.5.30729;+.NET+CLR+2.0.50727;+.NET+CLR+3.0.30729) http://www..com/ 304 0 0 43
    2013-04-15 16:19:33 192.168.4.7 GET /images/ico_twitter.png - 80 - 192.168.4.1 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+6.2;+WOW64;+Trident/6.0;+.NET4.0E;+.NET4.0C;+.NET+CLR+3.5.30729;+.NET+CLR+2.0.50727;+.NET+CLR+3.0.30729) http://www..com/ 304 0 0 47

    Where 192.168.4.7 is the internal address of my webserver and 192.168.4.1 is the address of the gateway adapter on the Sophos UTM9. All traffic coming from outside my network (i.e. public traffic) is logged in my IIS logs as the address of the internal gateway on the firewall.

    Is there a way to get actual ip addresses into my iis logs. The main reason I care is to parse out the logs and compare raw traffic to Google Analytics hit counts.
  • 0
    Hi ,

    This is normal what you see.
    There is no way to see the real address because all the connection from the world are going to the UTM WAF.
    This is what publish do , there is no communication from the world to your internal server.
    So that's what you only see the UTM instead , case he is the only one communicating with your internal server.

    All my best.
    Gilipeled

    Gil Peled.

    CEO- Expert2IT LTD.

    SOPHOS Platinum Partner.

    Gil@expert2it.co.Il.

  • 0
    Hi, 

    1. I've moved this to the correct forum.

    2. This is a common question; you need to have your webservers log the X_FORWARDED_FOR HTTP header.

    See also
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/57/t/50023

    Barry
Unfiltered HTML