packet flow sequence

Read my post here 

See attached image.

C68

This is the first time I've tried to summarize all this, so others should feel free to suggest corrections.

DNATs with an 'Interface (Address)' destination come before everything else.

Packets then are split into an INPUT chain (the packet's destination is the Astaro: proxies, VPNs, etc.) and a FORWARD chain (the packet's destination is beyond the Astaro).

Packet filter rules that have an 'Interface (Address)' as a destination therefore apply to the INPUT chain before going to the proxies, etc.  After those local processes, DNATs with an 'Interface (Address)' as a source are applied, and an OUTPUT chain is formed.

The other packet filter rules are applied to the FORWARD chain.

The FORWARD chain and the OUTPUT chain now both have routing applied, and in post-routing, SNAT and masquerading are done.

So, in general, it's DNAT to 'Interface (Address)' first, then: 

INPUT Chain: packet filters, proxies, routing, SNAT.

FORWARD Chain: packet filters, routing, SNAT.

An easy way to remember the sequences is that the first letters are in alphabetical order.

Cheers - Bob

Thanks for the explanation Bob, I took that wrong last night...and thought proxy/no proxy flow.

It was to late for me!!! (Read that as "I'm getting old!" :eek[:)]

C68

See attached picture which should clarify the flow through ASG.
It´s for version 7.2, but I believe in general, it is still  valid for 7.5.

attachment is here

Dear BALFson

As always, you are so helpful. Thank you.