Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 1538 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

port-forwarding doesn't work anymore!

manuell
Hi,

since about a week i am investigating why my asl doesn't forwards the ports anymore, given with my dnat/snat rules. the last change on the system was the installation of the updates 3.212, 3.213 and 3.214.

i have a 3 nic-config, with dmz and privat-network. masquerading the privat-network to the wan-interface still works. but every incoming traffic like http, https, imap, pop3, dns and ssh has a port-forwarding rule to one server in the dmz and doesn't work anymore! accessing the the admin-interface from outside is also possible. the clients on the privat-network are not touched by the problem, only things with port-forwarding.

any idea howto investigate this problem.
is it possible to reinstall the updates? i have tryed it, but the system tolds everytime, that the update is already installed.

the packet filter rules and the dnat/snat has worked before the updates...

thanks for any help?

greetings
manuel


This thread was automatically locked due to age.
Parents
  • 0
    I found this problem too, and here is the solution.

    The last batch of updates (I do not know which one) breaks the order in which NAT and rule execution works.

    Initially, it was check rule, then perform NAT.  Now it is the other way around.

    So if you were allowing inbound traffic to connect to your external interface, you must now allow it to connect to the internal IP address of the system you want it forwarded to.

    Hope this helps,

    Bob
Reply
  • 0
    I found this problem too, and here is the solution.

    The last batch of updates (I do not know which one) breaks the order in which NAT and rule execution works.

    Initially, it was check rule, then perform NAT.  Now it is the other way around.

    So if you were allowing inbound traffic to connect to your external interface, you must now allow it to connect to the internal IP address of the system you want it forwarded to.

    Hope this helps,

    Bob
Children
  • 0 in reply to Orcusomega
    [:O]ean...before and after

    Thanks
  • 0 in reply to Jadal
    Originally posted by Jadal:
     [:O]ean...before and after

    Thanks
    In 3.209 I set a DNAT rule that allowed connections to the external interface.  That connection was then forwarded to the internal host tranparently.

    Once I moved to 3.214, I had to change that rule to allow that traffic to a system definition on the internal network, instead of the external interface.

    Bob
  • 0 in reply to Orcusomega
    THanks:  I never really noticed that this was happening, but i do believe you are right. This should not happen though, should it, especially if you do not allow just anything on the internal LAN...you should have to make a rule then that specifically allows forwarding from your firewall interface to the Internal IP that hosts the service...so in that case the ASTARO people have fixed the problem. I have not tested this scenario though. Anything is allowed both ways on my Internal LAN...and outbound to the internet anything...with the exception of a couple of DNAT Rules allowing outside connections to a couple of different servers on different ports on the internal LAN. HHmmm!