Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 1087 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Packet Filtering Vs DNAT

chugger93
I've been using Astaro for a few days now and still trying to understand the different between the two.  I do have a Masquerading created, Any --> External WAN which does the transformation from private address inside the network to 1 public IP.

Anyways, its just weird.  Like I created a DNAT rule that basically forwards a port 9595 for remote desktop to my HOME PC.  So I can remote desktop to my home computer via:  IP Address:9595  (See screenshot)

However, I dont have a packet filter rule to allow that traffic and YET IT STILL works?  I can still make the connection.  I thought you needed both a DNAT rule and the packet rule for traffic to be allowed?

Another example is I have a DNAT created for an FTP connection to my HOME PC.  I use bulletproof FTP server.  I have no packet filter rule created, just the DNAT rule and I can connect fine.

So basically in what instances do I need a packet filter rule?  Kinda weird.


This thread was automatically locked due to age.
Parents
  • 0
    Have a look at your screenshot ! [;)]

    You have enabled "Automatic paket filter rule" under DNAT-> no additional packet rule is needed because the asg did that for you in the background.

    When you need are more special rule set you probably do not enable this automatic paket filter creation.
  • 0 in reply to ClausP
    So I'm confused,  if you check that box, it auto creates a packet rule for you?  However you just can't see it?

    What kind of special rule?  Can you give an example of when I should be using the packet filter?  Sounds like you almost never need to?  Also, if you check that box, are these logged? Or only the actual packet filters are logged?

    Thanks!
  • 0 in reply to chugger93
    So I'm confused,  if you check that box, it auto creates a packet rule for you?  However you just can't see it?

    Yes that is correct. There are some other rules you could not see directly.... proxies rules.
    What kind of special rule?  Can you give an example of when I should be using the packet filter?  Sounds like you almost never need to?

    If you want to permit access to your server in the DMZ only to some hosts. By using the automatic function every host belonging to the source net is able to connect to the DNATed host.
    Another example is when you need time event based rules this could also only be done in the packet filter section.
    Also, if you check that box, are these logged? 
     No, these are not logged.
    Or only the actual packet filters are logged?
     This belongs to what you enabled in each rule and under /Network Security/Paket Filter/Advanced/Logging options/
Reply
  • 0 in reply to chugger93
    So I'm confused,  if you check that box, it auto creates a packet rule for you?  However you just can't see it?

    Yes that is correct. There are some other rules you could not see directly.... proxies rules.
    What kind of special rule?  Can you give an example of when I should be using the packet filter?  Sounds like you almost never need to?

    If you want to permit access to your server in the DMZ only to some hosts. By using the automatic function every host belonging to the source net is able to connect to the DNATed host.
    Another example is when you need time event based rules this could also only be done in the packet filter section.
    Also, if you check that box, are these logged? 
     No, these are not logged.
    Or only the actual packet filters are logged?
     This belongs to what you enabled in each rule and under /Network Security/Paket Filter/Advanced/Logging options/
Children
  • 0 in reply to ClausP
    Thanks for the info...  so then would it be somewhat safe to say that packet filtering is more or less for setting ACL's for outgoing traffic and internal server to server traffic, etc?

    Because if I want to access my computer for example from the internet, using remote desktop from a remote location, I NEED a DNAT.  If I try making a packet filter rule instead saying  ANY --> RD Service --> External Network Address, it doesnt work, and thats obvious because the packets dont know where to go once they reach the destination, thus natting/port forwarding.
  • 0 in reply to chugger93
    so then would it be somewhat safe to say that packet filtering is more or less for setting ACL's for outgoing traffic and internal server to server traffic, etc?
    So Claus, is what chugger says correct then, pretty much?  Thanks, by the way, for sharing your expertise.  I'm trying to learn this stuff through "emersion" so I hope you and others have patience with questions like "what is an ACL".  

    I understand that Destination NAT (DNAT) is commonly used to publish a service from an internal network to a publicly accessible IP.  If an online game or online video worked when run through a standard home DSL modem/router with a default configuration, would it be true that DNAT should NOT be required when run through the ASG?

    --Dale--