Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 3 subscribers
  • Views 4657 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Rule 60002 blocking port 8080

jasperf
Hi All,

I've been fighting with a DNAT problem for the last week and need some assistance.

I am trying to setup access to my home web server using DNAT and can't seem to get it to work. Using the manual to configure DNAT is also not very helpful.

To start here is some information on what I have done so far:

DSL Router setup: 

Speedport W723V
Port Rule Activated: checked
Description: WebServerName
Type Rule: WebServer
Good for Device: WebServerName
Forwarded Ports/Port Range
  TCP-Ports: 8080



Astaro v8.305 Home Setup

DNAT
Position: 1
Traffic Source: Internet
Traffic Service: HTTP
Traffic Destination: ExternalInterface
NAT Mode: DNAT
Destination: WebServer IP
Destination Service: [blank]
Log inital packets: checked
Automatic Firewall rule: checked



ERROR Message when I try to connect to the webserver from outside my home network

2012:07:02-14:29:39 ******** ulogd[4646]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth1" outitf="eth0" srcmac="" dstmac="" srcip="ip_Internal_WebSrv" dstip="ip_Remote_host" proto="6" length="48" tos="0x00" prec="0x00" ttl="63" srcport="8080" dstport="19995" tcpflags="ACK SYN"



Port forwarding on the DSL Router works for WebAdmin on port=4444. There is a general rule for http from my home network into the internet.

Searching the portal also doesn't give any solutions that have been verified. Doing a google search returned the following DNAT rulesets:

iptables -t nat -A PREROUTING -i eth0 --dst $INET_IP -p tcp --dport 80 -j DNAT --to-destination $HTTP_IP

iptables -t nat -A POSTROUTING -p tcp --dst $HTTP_IP --dport 80 -j SNAT --to-source $LAN_IP

iptables -t nat -A OUTPUT --dst $INET_IP -p tcp --dport 80 -j DNAT --to-destination $HTTP_IP



I haven't implemented the above rulesets yet, because I wanted to check in the forum before I start mucking around with the command line. In the meantime, I am trying to implement the above rules through the webadmin interface.

Thanks in advance for your help.

Regards,

Jasper


This thread was automatically locked due to age.
Parents
  • 0
    Hi, try changing the DNAT on Astaro, to port 8080 on the External Address.

    Barry
  • 0 in reply to BarryG
    Hi Barry,

    tried that and am still running into the problem that rule 60002 is activated.

    Ok, it is obvious that I am too dump/stupid/whatever to correct this problem. 
    I have tried going through the iptables documents and have come to the conclusion that each table has a DROP rule. And dependent on how the connection is interpreted, it is possible that a table/chain deny rule can prevent the connection from going any further. The confusing part is the order that the rules are executed.

    So, I am looking into deleting the default Deny rules from the database, and setup my own ANY-ANY-Deny? This is the home license and I know that Astaro will not provide any support if I make changes from the cli (I don't have a support contract anyway 8.}).

     IMHO, the global deny rule should be at the end (last rule executed) and should not be dependent on which table or chain that the connection must past through.

    I have a virtual lab and will conduct a few experiments before implementing my thoughts on my home firewall.

    In closing, I would like to thank all who have assisted me in with this problem.

    Best regards,

    jasperf
Reply
  • 0 in reply to BarryG
    Hi Barry,

    tried that and am still running into the problem that rule 60002 is activated.

    Ok, it is obvious that I am too dump/stupid/whatever to correct this problem. 
    I have tried going through the iptables documents and have come to the conclusion that each table has a DROP rule. And dependent on how the connection is interpreted, it is possible that a table/chain deny rule can prevent the connection from going any further. The confusing part is the order that the rules are executed.

    So, I am looking into deleting the default Deny rules from the database, and setup my own ANY-ANY-Deny? This is the home license and I know that Astaro will not provide any support if I make changes from the cli (I don't have a support contract anyway 8.}).

     IMHO, the global deny rule should be at the end (last rule executed) and should not be dependent on which table or chain that the connection must past through.

    I have a virtual lab and will conduct a few experiments before implementing my thoughts on my home firewall.

    In closing, I would like to thank all who have assisted me in with this problem.

    Best regards,

    jasperf
Children
No Data