<p><br /><br /> <br /><br /><strong>On Wed Oct  3 19:09 , Costa Tsaousis  sent:<br /><br /></strong><blockquote style="border-left: 2px solid rgb(245, 245, 245); margin-left: 5px; margin-right: 0px; padding-left: 5px; padding-right: 0px;">O/H <a href="javascript:top.opencompose('rich@thevillas.eclipse.co.uk','','','')">rich@thevillas.eclipse.co.uk</a> Ýγραψε:<br />
> I think I should be able to simply rewrite the source address in (b) <br />
> to the internal<br />
> address of my firewall so that all replies from the webserver come<br />
> back via the firewall and can be correctly de-mangled. In other words<br />
> all communiction between LAN clients and my webserver will be<br />
> dog-legged via the firewall.<br />
><br />
Thats right.<br />
> BUT, this doesn't work with my current firehol config.<br />
> Please please could someone point out where my config is wrong?<br />
> I have spent hours and hours one this but can't figure it out<br />
><br />
I don't see an snat for this purpose in your config.<br />
<br />
You need:<br />
<br />
snat to "${HOME_MYIP}"                 \<br />
        outface "${HOME_MYIF}"            \<br />
        src "${HOME_LAN}" dst "192.168.0.11"</blockquote></p><blockquote style="border-left: 2px solid rgb(245, 245, 245); margin-left: 5px; margin-right: 0px; padding-left: 5px; padding-right: 0px;"></blockquote><p>sorry, i'd made a typo there. I've tried so many variants of the snat. I had tried that snat rule and it doesn't work.</p><p>Interestingly, I can't seem to ssh to the external address of the firewall from the LAN either. I'm wondering whether  there is a rule that is dropping all traffic hitting the PUBLIC_MYIP if it originates from the LAN?</p><p>Thanks for the help </p><p><blockquote style="border-left: 2px solid rgb(245, 245, 245); margin-left: 5px; margin-right: 0px; padding-left: 5px; padding-right: 0px;"><br />
<br /><br />
</blockquote></p><BR>