Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 1 subscriber
  • Views 6306 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IIS logs show ip for Firewall instead of Client

gjkoz
I think I have some sort of Masquerading problem. When web traffic is logged to my IIS logs, it gets logged as the internal interface ip on my Firewall instead of the outside client's ip address. Is there a way to tweak the rules so I'm getting actual client ip addresses in my IIS logs?


This thread was automatically locked due to age.
Parents
  • 0
    Hi, are you using DNAT? That should work OK.

    Don't use FULL NAT.

    Or are you using the reverse proxy (Webserver Protection)?

    Barry
  • 0 in reply to BarryG
    I'm using a Webserver Protection rule to publish the webserver. It's a standard port 80 web server. The firewall is logging external ip's, but when I try to look at the iis logs, all the traffic from outside my network looks like this:

    2013-04-15 16:19:33 192.168.4.7 GET /images/title.png - 80 - 192.168.4.1 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+6.2;+WOW64;+Trident/6.0;+.NET4.0E;+.NET4.0C;+.NET+CLR+3.5.30729;+.NET+CLR+2.0.50727;+.NET+CLR+3.0.30729) http://www..com/ 304 0 0 9
    2013-04-15 16:19:33 192.168.4.7 GET /images/ico_facebook.png - 80 - 192.168.4.1 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+6.2;+WOW64;+Trident/6.0;+.NET4.0E;+.NET4.0C;+.NET+CLR+3.5.30729;+.NET+CLR+2.0.50727;+.NET+CLR+3.0.30729) http://www..com/ 304 0 0 11
    2013-04-15 16:19:33 192.168.4.7 GET /images/ico_linkedin.png - 80 - 192.168.4.1 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+6.2;+WOW64;+Trident/6.0;+.NET4.0E;+.NET4.0C;+.NET+CLR+3.5.30729;+.NET+CLR+2.0.50727;+.NET+CLR+3.0.30729) http://www..com/ 304 0 0 10
    2013-04-15 16:19:33 192.168.4.7 GET /images/ico_rss.png - 80 - 192.168.4.1 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+6.2;+WOW64;+Trident/6.0;+.NET4.0E;+.NET4.0C;+.NET+CLR+3.5.30729;+.NET+CLR+2.0.50727;+.NET+CLR+3.0.30729) http://www..com/ 304 0 0 43
    2013-04-15 16:19:33 192.168.4.7 GET /images/ico_twitter.png - 80 - 192.168.4.1 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+6.2;+WOW64;+Trident/6.0;+.NET4.0E;+.NET4.0C;+.NET+CLR+3.5.30729;+.NET+CLR+2.0.50727;+.NET+CLR+3.0.30729) http://www..com/ 304 0 0 47

    Where 192.168.4.7 is the internal address of my webserver and 192.168.4.1 is the address of the gateway adapter on the Sophos UTM9. All traffic coming from outside my network (i.e. public traffic) is logged in my IIS logs as the address of the internal gateway on the firewall.

    Is there a way to get actual ip addresses into my iis logs. The main reason I care is to parse out the logs and compare raw traffic to Google Analytics hit counts.
Reply
  • 0 in reply to BarryG
    I'm using a Webserver Protection rule to publish the webserver. It's a standard port 80 web server. The firewall is logging external ip's, but when I try to look at the iis logs, all the traffic from outside my network looks like this:

    2013-04-15 16:19:33 192.168.4.7 GET /images/title.png - 80 - 192.168.4.1 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+6.2;+WOW64;+Trident/6.0;+.NET4.0E;+.NET4.0C;+.NET+CLR+3.5.30729;+.NET+CLR+2.0.50727;+.NET+CLR+3.0.30729) http://www..com/ 304 0 0 9
    2013-04-15 16:19:33 192.168.4.7 GET /images/ico_facebook.png - 80 - 192.168.4.1 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+6.2;+WOW64;+Trident/6.0;+.NET4.0E;+.NET4.0C;+.NET+CLR+3.5.30729;+.NET+CLR+2.0.50727;+.NET+CLR+3.0.30729) http://www..com/ 304 0 0 11
    2013-04-15 16:19:33 192.168.4.7 GET /images/ico_linkedin.png - 80 - 192.168.4.1 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+6.2;+WOW64;+Trident/6.0;+.NET4.0E;+.NET4.0C;+.NET+CLR+3.5.30729;+.NET+CLR+2.0.50727;+.NET+CLR+3.0.30729) http://www..com/ 304 0 0 10
    2013-04-15 16:19:33 192.168.4.7 GET /images/ico_rss.png - 80 - 192.168.4.1 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+6.2;+WOW64;+Trident/6.0;+.NET4.0E;+.NET4.0C;+.NET+CLR+3.5.30729;+.NET+CLR+2.0.50727;+.NET+CLR+3.0.30729) http://www..com/ 304 0 0 43
    2013-04-15 16:19:33 192.168.4.7 GET /images/ico_twitter.png - 80 - 192.168.4.1 Mozilla/4.0+(compatible;+MSIE+7.0;+Windows+NT+6.2;+WOW64;+Trident/6.0;+.NET4.0E;+.NET4.0C;+.NET+CLR+3.5.30729;+.NET+CLR+2.0.50727;+.NET+CLR+3.0.30729) http://www..com/ 304 0 0 47

    Where 192.168.4.7 is the internal address of my webserver and 192.168.4.1 is the address of the gateway adapter on the Sophos UTM9. All traffic coming from outside my network (i.e. public traffic) is logged in my IIS logs as the address of the internal gateway on the firewall.

    Is there a way to get actual ip addresses into my iis logs. The main reason I care is to parse out the logs and compare raw traffic to Google Analytics hit counts.
Children
No Data
Unfiltered HTML