Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 3 subscribers
  • Views 4655 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Rule 60002 blocking port 8080

jasperf
Hi All,

I've been fighting with a DNAT problem for the last week and need some assistance.

I am trying to setup access to my home web server using DNAT and can't seem to get it to work. Using the manual to configure DNAT is also not very helpful.

To start here is some information on what I have done so far:

DSL Router setup: 

Speedport W723V
Port Rule Activated: checked
Description: WebServerName
Type Rule: WebServer
Good for Device: WebServerName
Forwarded Ports/Port Range
  TCP-Ports: 8080



Astaro v8.305 Home Setup

DNAT
Position: 1
Traffic Source: Internet
Traffic Service: HTTP
Traffic Destination: ExternalInterface
NAT Mode: DNAT
Destination: WebServer IP
Destination Service: [blank]
Log inital packets: checked
Automatic Firewall rule: checked



ERROR Message when I try to connect to the webserver from outside my home network

2012:07:02-14:29:39 ******** ulogd[4646]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth1" outitf="eth0" srcmac="" dstmac="" srcip="ip_Internal_WebSrv" dstip="ip_Remote_host" proto="6" length="48" tos="0x00" prec="0x00" ttl="63" srcport="8080" dstport="19995" tcpflags="ACK SYN"



Port forwarding on the DSL Router works for WebAdmin on port=4444. There is a general rule for http from my home network into the internet.

Searching the portal also doesn't give any solutions that have been verified. Doing a google search returned the following DNAT rulesets:

iptables -t nat -A PREROUTING -i eth0 --dst $INET_IP -p tcp --dport 80 -j DNAT --to-destination $HTTP_IP

iptables -t nat -A POSTROUTING -p tcp --dst $HTTP_IP --dport 80 -j SNAT --to-source $LAN_IP

iptables -t nat -A OUTPUT --dst $INET_IP -p tcp --dport 80 -j DNAT --to-destination $HTTP_IP



I haven't implemented the above rulesets yet, because I wanted to check in the forum before I start mucking around with the command line. In the meantime, I am trying to implement the above rules through the webadmin interface.

Thanks in advance for your help.

Regards,

Jasper


This thread was automatically locked due to age.
  • 0
    Http = Port 80
    Http Proxy = Port 8080

    Looks like you are opening port 8080 on your parameter router and then opening port 80 on astaro. Change the port on your external router to port 80 and it should work as expected. Also, don't forget that port 8080 is also used by http proxy on astaro itself and creating dnat rules might give unexpected results to your http proxy (websecurity) users.

    INTERNET--ROUTER port 80 incoming--- astaro port 80 incoming--webserver ALLOW

    Regards
    Bill
  • 0 in reply to Billybob
    Hi BillyBob,

    actually, I am forwarding 80,8080 and 443 from the router. The title is misleading, the HTTP is actually HTTP_Grp on the Router.

    But, thanks for the info anyway.

    Regards,

    Jasper
  • 0
    Hi, try changing the DNAT on Astaro, to port 8080 on the External Address.

    Barry
  • 0 in reply to BarryG
    Hi Barry,

    tried that and am still running into the problem that rule 60002 is activated.

    Ok, it is obvious that I am too dump/stupid/whatever to correct this problem. 
    I have tried going through the iptables documents and have come to the conclusion that each table has a DROP rule. And dependent on how the connection is interpreted, it is possible that a table/chain deny rule can prevent the connection from going any further. The confusing part is the order that the rules are executed.

    So, I am looking into deleting the default Deny rules from the database, and setup my own ANY-ANY-Deny? This is the home license and I know that Astaro will not provide any support if I make changes from the cli (I don't have a support contract anyway 8.}).

     IMHO, the global deny rule should be at the end (last rule executed) and should not be dependent on which table or chain that the connection must past through.

    I have a virtual lab and will conduct a few experiments before implementing my thoughts on my home firewall.

    In closing, I would like to thank all who have assisted me in with this problem.

    Best regards,

    jasperf
  • 0
    I would advise putting your dsl router into bridge mode and letting your astaro provide network security.  right now you are fighting double-nat which as you have seen is a pain in the keister.
  • 0 in reply to William Warren
    Hi William,

    thanks for the suggestion [:)].

    Unfortunately, the DSL Router [Speedport W723V] that I have doesn't have a bridge mode [[:(]]. It has a built-in firewall, which can't be deactivated, with port forwarding activated.

    If I set it up in modem mode, then I would have  look into how to configure all hosts on my network for accessing the internet (pppoe). With the hardware that I have I'm pretty sure I can get it work. I just have to figure out why the return packet from the webserver is being blocked. I can access the Webadmin from outside, but not my webserver. Maybe it's because of the port that Webadmin uses.

    I've noticed in the german forum that a lot of people are having a similar problem; but no one has enter a solution that works [[:(]] (or that has been confirmed as working). 

    So, I just have to get the old gray matter working and figure this out [:D].
  • 0
    Hi William,

    thanks for the suggestion [:)].

    Unfortunately, the DSL Router [Speedport W723V] that I have doesn't have a bridge mode [[:(]]. It has a built-in firewall, which can't be deactivated, with port forwarding activated.

    If I set it up in modem mode, then I would have  look into how to configure all hosts on my network for accessing the internet (pppoe). With the hardware that I have I'm pretty sure I can get it work. I just have to figure out why the return packet from the webserver is being blocked. I can access the Webadmin from outside, but not my webserver. Maybe it's because of the port that Webadmin uses.

    I've noticed in the german forum that a lot of people are having a similar problem; but no one has enter a solution that works [[:(]] (or that has been confirmed as working).

    So, I just have to get the old gray matter working and figure this out [:D].


    OK put it into modem mode then you select pppoe as wan type in astaro..astaro is your router now..let astsro handle dhcp and DNS and everyone has inet access with the superior protection of astaro
  • 0
    Also, in your first post here, the line from the firewall log indicates that the response from your webserver was so slow that the connection tracker timed out.  There's a way to set the tcp_timeout from the command line.

    Maybe: # cc set http response_timeout 300

    Cheers - Bob