Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 1840 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

V7 GA packetfilter issue

Scott_Klassen
This is only on a test system for now, so nothing terribly critical, but this is one of the issues that will keep me from applying V7 to my Astaro appliance.
 
In the packetfilter I only have one rule, which is any-any-allow.  Very simple, just let anything through.  Yet for some odd reason, this thing is dropping packets.  Watching the live log of the packet filter for a few minutes, most of the dropped packets are UDP and all of them have default drop as the reason.
 
My question is this, where is it configured to drop these packets by default, overriding the any-any-allow rule? SOme of the stuff being dropped I'd like to allow.


This thread was automatically locked due to age.
Parents
  • 0
    In previous versions, those dropped packets are usually caused by things like the IPS or anti-DoS settings. If you look in the log files for those services you can usually find a clue.
  • 0 in reply to drees
    Thanks for the replies.
     
    Mike_H:  Shouldn't allow any do that?
     
    Jimmy:  Most, but not all, are broadcast actually.
     
    Drees:  I'll did through the logs again and see what I find.
  • 0 in reply to Scott_Klassen
    Hi - rather than start a new thread, I'd like to tag along.
    I have the exact same problem as Scott_Klassen. For my testing, I have disabled Intrusion Protection altogether, created specific filter "allow" rules and put them at the top of the filter list. 
    For instance:
    EITHER
    Any -> Any ->Any as Packet Filter Rule#1
    OR
    Any -> testport -> Any   as Rule #1   
    (where testport is a service defined as 1:65535 -> 24680)

    When I try testing the port by going to http://www.utorrent.com/testport.php?port=24680
    I see that the packet gets dropped as per this log line:
    09:41:37  Default DROP  TCP  72.20.4.102:46995 → :24680
    [SYN]  len=60  ttl=48  tos=0x00

    [:S] Any suggestions ?
  • 0 in reply to bitbyter2
    Any->Any->Any will only allow all forwarded traffic (meaning traffic that neither originates nor terminates on the firewall).

    Traffic from or to one of the firewall interfaces it still subject to the default "drop" rule. To override that behaviour, you must add rules which have the respective interface address as either the source or the destination of the traffic. You should NOT do this for an arbitrary port range (like "Any"), however.
  • 0 in reply to tom_01
    exactly... ANY does not include the interfaces on the actual appliance, this is the same behavior as V6.  Add rules for each internal / external interface if necessary.
  • 0 in reply to BrucekConvergent
    bitbyter2

    Your example would not work anyway.  For this to work you would need a DNAT to something that is 'listening' on that port.  Just opening a port does not mean to say anything is listening on it.
Reply Children
  • 0 in reply to Mike_H
    Guys - THANK YOU for your posts. I'm new to Astaro and just trying to get my head around how it works. These and other posts have helped me to get my port open and receiving torrents. 

    This possibly should be a new post but I find it strange that each time I setup  a new rule (either packet filter or NAT), the pop-up selection of either "Source", "Service", or "Destination" shows pre-defined options but does not ever allow me to select one. I end up closing the side pop-up and creating a new definition that is a clone of an existing one with a slightly different name.  Is this normal ? I couldn't find any other posts describing this problem (I'm using Firefox with scripting enabled). 
    Thanks again for your help.
    Scott
  • 0 in reply to bitbyter2
    Hey bitbyter2, it's a drag-and-drop selection tool - took me a while to figure it out!
  • 0 in reply to JeremySherriff
    DOH ! Now I feel really stupid - I was even wondering what the hell the DND meant when I deleted the existing entry. This thing is too slick for its own good ! Thank you !