NAT malfunction LAN on WAN

Well Barry,

Thanks to you, I tried a test with the HTTP/S and FTP proxies turned off.

I saw the malfunction twice, then not again.

I turned to proxies back on and, TADAAAaaaaa, the problem is back. My LAN is now seen as a source outside of the ASG on [FIN ACK] packets. But this time, the catch all rule did not catch the packets.

Also, now my outbound traffic is seen via syslog. Previously, outbound traffic was not logged.

The order of rules inside the default group called "Web Surfing" is as follows:

HTTP Proxy
HTTPS
HTTP
HTTP WebCache

The proxy appears to be functional as it did block ****ography and provocative attire.

In what order should the rules be inside the "Web Surfing" group?

The problem is active. My LAN addresses are seen as source addresses outside of the ASG and the catch all rule does not stop the packets this time.



Jim

With the "Web Surfing" group rules removed, and the catch all rule off/removed...

1st test: port 80 was default dropped.

2nd test: no port 80 default drop, no lan seen as src

3rd test: same as 2nd

I cannot see the outbound traffic but no LAN adresses are seen as src outside of the ASG.

The problem is repeatable.

When closing my browser, the [ACK RST] packets are default dropped (packet filter live log). Also, the [ACK FIN] packets are default dropped. Syslog sees the packets as blocked outbound which is correct. Source addresses of packets is LAN. Since packets are default dropped, they are not seen outside of the ASG.

Normal?

Good work, Jim. I sure hope one of the Astaro developers comes by here.

Jim, the entries in the pf log that you attached are quite harmless. They also are not leaking any internal traffic out onto the internet. They are being dropped because Astaro is a fully stateful firewall. 

Whether or not this is a bug, the cause is simply that Astaro has already seen a RST packet from one end of the session, and has closed the session in its connection tracking table. Any further traffic seen for that session, is then dropped and logged - even if it is just the other side of the session trying to also close the session. Adding a pf rule to drop and not log these entries doesn't stop them from happening, just from being logged when they do.

Alan, what about his external packet capture that caught such traffic coming out the External port?

Jim said he attached a packet capture, but that was just the ASG live log. 

@Jim - Do you have an external packet capture showing unmasqueraded packets leaving the Astaro? if you do not wish to post it here, you can email me directly at atoews@astaro.com

I've been able to reproduce this, but only by enabling then disabling full transparent mode. I see FIN and RST packets slip through unmasqueraded, but only for the sessions that were initiated while full transparent mode is enabled. Jim, do you have any proxy profiles setup? is it possible one of them has full transparent mode enabled?

I have neither "Full Transparent" on, nor any profiles created.

The packet capture in my initial post was from between the ASG and the modem. As you will see, the src ip is my LAN IP.

If you would like me to email you the file or make another one, let me know.


Jim

Jim, I could barely read that picture in your original post.  Maybe you could just send the Wireshark file.

Cheers - Bob