Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 4922 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

packet flow sequence

akc
Hi,
Is there anyone to help me with the packet flow sequence in the Astaro 525? for example the packet flow sequence for the incoming packet in the juniper is:
MIP --> Route lookup --> policy lookup --> NAT-Dst & NAT-Src -->... 

Thanks in advance.


This thread was automatically locked due to age.
Parents
  • 0
    This is the first time I've tried to summarize all this, so others should feel free to suggest corrections.

    DNATs with an 'Interface (Address)' destination come before everything else.

    Packets then are split into an INPUT chain (the packet's destination is the Astaro: proxies, VPNs, etc.) and a FORWARD chain (the packet's destination is beyond the Astaro).

    Packet filter rules that have an 'Interface (Address)' as a destination therefore apply to the INPUT chain before going to the proxies, etc.  After those local processes, DNATs with an 'Interface (Address)' as a source are applied, and an OUTPUT chain is formed.

    The other packet filter rules are applied to the FORWARD chain.

    The FORWARD chain and the OUTPUT chain now both have routing applied, and in post-routing, SNAT and masquerading are done.

    So, in general, it's DNAT to 'Interface (Address)' first, then: 

    INPUT Chain: packet filters, proxies, routing, SNAT.

    FORWARD Chain: packet filters, routing, SNAT.


    An easy way to remember the sequences is that the first letters are in alphabetical order.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    This is the first time I've tried to summarize all this, so others should feel free to suggest corrections.

    DNATs with an 'Interface (Address)' destination come before everything else.

    Packets then are split into an INPUT chain (the packet's destination is the Astaro: proxies, VPNs, etc.) and a FORWARD chain (the packet's destination is beyond the Astaro).

    Packet filter rules that have an 'Interface (Address)' as a destination therefore apply to the INPUT chain before going to the proxies, etc.  After those local processes, DNATs with an 'Interface (Address)' as a source are applied, and an OUTPUT chain is formed.

    The other packet filter rules are applied to the FORWARD chain.

    The FORWARD chain and the OUTPUT chain now both have routing applied, and in post-routing, SNAT and masquerading are done.

    So, in general, it's DNAT to 'Interface (Address)' first, then: 

    INPUT Chain: packet filters, proxies, routing, SNAT.

    FORWARD Chain: packet filters, routing, SNAT.


    An easy way to remember the sequences is that the first letters are in alphabetical order.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
No Data
Cookie Information Banner