Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 2 subscribers
  • Views 1961 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Automatic Packet Filter - details

BramKortleven
I was wondering:

Automatic packet filtering in DNAT/SNAT and VPN configuration, what does it really do?

-Does it open ports you defined in DNAT/SNAT, and networks in VPN only, or does it allow traffic requesting something for the NAT to go through, whatever service?
-Can you see the details of the filter rules automatically created?
-Is there a way of Logging these packet filter rules like you can enable logging on a manually defined packet filter?

If someone could explain a bit in-depth, please. I'm quite confused on this one...


2nd:
Should you use it or not?
Why would you (apart from being much more easy to configure, instead of creating AND a NAT rule AND a Packet Filter rule) use it, or why wouldn't you?
Do you use it? --> poll...


This thread was automatically locked due to age.
  • 0
    If you define a DNAT/SNAT rule with automatic packet filter enabled, Astaro will automatically create a packet filter rule, allowing the DNAT/SNAT to work.

    For instance: If you create a DNAT rule for port 80 to go from your WAN interface to you local webserver (DNAT Rule: Any ->HTTP->External, destination internal webserver, service HTTP), Astaro will create a rule allowing traffic from the outside world (Any -> Service HTTP -> Internal webserver). Same for VPN connections.

    Normally, you would have to define this packet filter by yourself, so using auto-filter is easy and saves work (not to mention avoiding wrong packet filter rules [;)] )

    You can't see the details of the filter, and you cannot log traffic from the auto-filter.

    However, if you feel the need to see what is going on, you can still disable the auto-filter, create the filter manually as the first rule and then turn logging on (Tip by BAlfson). 

    As for your second question, I think there are two valid arguments in This Thread

    As for me, I'm not using automatic packet filter by default, but there are cases in which I do, depending on the rule and my need for monitoring.