Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 14 replies
  • Subscribers 3 subscribers
  • Views 2638 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

packet filter going wild

mirku
Hello!
I am trying to open the 143 port (IMAP)  for outside access and to do a forward to my mail server  on that port!
The packet filter rule and DNAT just don't work and it is driving me nuts!
The thing that is very strange is that when the rules are not activated for the IMAP port the live log of the packet filter doesn't show dropped packets when i try to connect on this port!
Even when the rules are activated for the IMAP port (DNAT and packet filter) the live log doesn't show anything when i try to connect from the outside to my server!
The same thing  happens with other port numbers lower than 1100 that are not listed in the packet filter or DNAT rules! The live log simply does not show the packets being dropped!
Attached is a photo when i Try to do a telnet on port 143 and 50 with no rules activated on the firewall and there are no dropped packets and a telnet to port 9999 ,also not configured on the firewall,and for the 9999 port you can clearly see the packet being dropped!
what do you think?


This thread was automatically locked due to age.
  • 0
    Hi, you should be using DNAT not Full Nat (the source should not be changed).

    Barry
  • 0
    Changed it!...the same thing...no forwarding! The problem on the live log still persists
  • 0 in reply to mirku
    can someone test with another machine the LiveLog of the packet filter to see if it shows connection demands being dropped for port numbers lower then 1000? (obviously no rule must be configured for the port number) 
    I can not understand why it is not showing what is happening with those connections ![:S]
    It is something like a default drop???
  • 0 in reply to mirku
    Hi,
    I would suspect you have enabled auto rule generation when you used the DNAT.

    Ian M
  • 0 in reply to RFCat_vk_01
    Nope! the auto rule generation in DNAT is off!
    I would like to say that every rule that i create for an incoming connection to the same machine that has a port number bigger then 1000 is working ok!
    I also tryed to set up a FTP server on the same internal machine and the result is the same! The incoming connection on port 21 is not shown by the packet filter live log ,but if i change the port number to 9999 for example for the ftp server everything is working ok! [:(]
  • 0 in reply to mirku
    can someone test with another machine the LiveLog of the packet filter to see if it shows connection demands being dropped for port numbers lower then 1000? (obviously no rule must be configured for the port number) 
    I can not understand why it is not showing what is happening with those connections ![:S]
    It is something like a default drop???



    I just tested telneting into my system from a remote computer and I got all the appropriate drop messages on the livelog of the packet filter.
  • 0 in reply to Redactor007
    Ok...thanks! My firewall it's not showing them!
  • 0
    If you don't have a silent drop rule, then dropped packets should show up.  Your rule with logging should show any passed packets.  That you aren't seeing either one indicates that you aren't reaching the External interface.  Is the computer you're using on an internal network of the Astaro?  What are the IPs on the client PC and of 'External (Address)'?

    Cheers - Bob
  • 0 in reply to BAlfson
    If your packet filter rule is defined properly, and you still aren't seeing drops (or allowed packets), check and re-check your NAT rules.  If a NAT rule is not defined correctly, you won't see anything in the packet filter log at all.

    I've had this bite me from time to time, and I've been working with this solution for years; often when a typo occurs or a missing member of a group occurs.  Maybe you can post your NAT and packet filter rules for us to look at.
  • 0 in reply to BrucekConvergent
    Here are my settings:Host,external adress,service,packet filter rule,DNAT rule!