
<p><br />fantastic! that's it. Thanks very much, I was missing the 'router' section. </p><p>I'll add this to the forum as well.</p><p>cheers</p><p>Rich<br /><br /> <br /><br /><strong>On Fri Oct  5 16:29 , Costa Tsaousis  sent:<br /><br /></strong><blockquote style="border-left: 2px solid rgb(245, 245, 245); margin-left: 5px; margin-right: 0px; padding-left: 5px; padding-right: 0px;">O/H <a href="javascript:top.opencompose('rich@thevillas.eclipse.co.uk','','','')">rich@thevillas.eclipse.co.uk</a> İγραψε:<br />


><br />


><br />


><br />


><br />


><br />


> *On Thu Oct 4 0:02 , Costa Tsaousis sent:<br />


><br />


> *<br />


><br />


>     O/H <a href="javascript:top.opencompose('rich@thevillas.eclipse.co.uk','','','')">rich@thevillas.eclipse.co.uk</a><br />


>     <a href="javascript:top.opencompose('rich@thevillas.eclipse.co.uk','','','')">rich@thevillas.eclipse.co.uk</a>','','','')><br />


>     İγραψε:<br />


>     ><br />


>     > Interestingly, I can't seem to ssh to the external address of the<br />


>     > firewall from the LAN either. I'm wondering whether there is a rule<br />


>     > that is dropping all traffic hitting the PUBLIC_MYIP if it<br />


>     originates<br />


>     > from the LAN?<br />


>     ><br />


>     If firehol is dropping traffic there should be some logs about it.<br />


>     Check it.<br />


><br />


>     You could also append<br />


><br />


>     ... log "text to be logged"<br />


><br />


>     to the dnat and snat rules (or any other). This will make the rule<br />


>     log<br />


>     the "text to be logged" when a packet matches it.<br />


><br />


>      thanks. So, ive' taken a reverse approach with looking at the logs.<br />


><br />


>     i have a snat rule:<br />


><br />


><br />


>         snat to "${HOME_MYIP}" \<br />


>             outface "${HOME_MYIF}" \<br />


>             src "${HOME_LAN}" dst "${WEBSERVER}" log "websnatted" level 7<br />


><br />


>     Nothing gets logged. The other snat rule for all general traffic<br />


>     going out logs fine:<br />


><br />


>          snat to "${PUBLIC_MYIP}"                 \<br />


>             outface "${PUBLIC_MYIF}"             \<br />


>             src "${HOME_LAN}" dst not "${UNROUTABLE_IPS}" log<br />


>     "snatted" level 7<br />


><br />


>      <br />


><br />


>     So, moving on to dnat:<br />


><br />


>      dnat to ${WEBSERVER}:80                        \<br />


>         inface "${PUBLIC_MYIF}"                    \<br />


>         src not "${UNROUTABLE_IPS}"            \<br />


>         proto tcp dport 80 log "webdnatted" level 7<br />


><br />


>      This doesn't log if the traffic is coming from the lan.<br />


><br />


>     I thought the  next section causing the problem could be:<br />


><br />


>     # Protect us from the HOME LAN<br />


>     interface "${HOME_MYIF}" home src "${HOME_LAN}" dst "${HOME_MYIP}<br />


>     ${HOME_BCAST}" log "lanprotect" level 7<br />


>         policy reject<br />


>        <br />


>         server "${HOME_SERVICES}" accept<br />


>        <br />


>         client all accept<br />


><br />


><br />


>      This logs when i try to connect to the firewall external<br />


>     ${PUBLIC_MYIP} with ssh but not http.<br />


><br />


>     The only other section i think could be causing the problem is<br />


>     below but nothing gets logged for these rules for traffic from the LAN<br />


><br />


>      <br />


><br />


>      # Protect us from the PUBLIC<br />


>     interface "${PUBLIC_MYIF}" internet                \<br />


>         src not "${UNROUTABLE_IPS}"                \<br />


>         `test ! -z "${PUBLIC_MYIP}" && echo "dst '${PUBLIC_MYIP}'"`<br />


>     log "publicprotect" level 7<br />


>         <br />


>         protection strong<br />


>         policy drop<br />


>         <br />


>         # Are there any trusted PCs/services?<br />


>         if [ ! -z "${TRUSTED_PCS}" -a ! -z "${TRUSTED_SERVICES}" ]<br />


>         then<br />


>             server "${TRUSTED_SERVICES}" accept src "${TRUSTED_PCS}"<br />


>         fi<br />


>         <br />


>         server "${PUBLIC_SERVICES}" accept<br />


>         <br />


>         client all accept<br />


><br />


>      <br />


><br />


>     Thanks again,<br />


><br />


>     Rich <br />


><br />


You need both nats:<br />


<br />


dnat to ${WEBSERVER}:80       \<br />


    inface "${HOME_MYIF}"       \<br />


    src "${HOME_LAN}"             \<br />


    dst "${PUBLIC_MYIP}" proto tcp dport 80<br />


<br />


<br />


snat to "${HOME_MYIP}"    \<br />


    outface "${HOME_MYIF}" \<br />


    src "${HOME_LAN}" dst "${WEBSERVER}"<br />


<br />


and a router:<br />


<br />


router lan2lan inface "${HOME_MYIF}" outface "${HOME_MYIF}" src <br />


"${HOME_LAN}" dst "${HOME_LAN}"<br />


    server http accept<br />


<br />


<br />


Costa<br />


</blockquote>


</p><BR>