Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 1999 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

NAT problem in 7.501

ehofstede
Hi Guys,

Since I have installed 7.501 on my firewall I have issues with NAT.
I created a DNAT rule that gives a limited amount of ip addresses access to my server on port 443 and I created a rule that gives my home ip address access to the server with RDP.

Group IPs ---> Webserving ---> on WAN port ---> internal server
Log initial package and automatic packet filter rules are checked.

Home IP ---> RDP protocol ---> on WAN port ---> internal server
Log initial package and automatic packet filter rules are checked.

This worked this morning just fine. Both rules did. But at one moment my RDP session freezes and that's it.... Nothing changed in the configuration of Astaro, but in the packet filter I now see that this traffic (webserving and RDP) is blocked...

I created a packet filter rule that says: 
Home ip ---> Any service ---> internal server
allow always, log traffic

And all traffic is being blocked!

I have reasons to believe there is a small bug doing it's work in version 7.501

Hope anyone can help me, or confirm this issue so that I know I'm not the only one... [;)]

Thanks,
Regards,
Erwin.


This thread was automatically locked due to age.
  • 0
    Erwin, can you show the line in the packet filter log?  Also check the Intrusion Prevention log near the same time.

    Cheers  - Bob
  • 0 in reply to BAlfson
    Erwin, can you show the line in the packet filter log?  Also check the Intrusion Prevention log near the same time.


    Sure Bob, here you are;

    11:34:13 Default DROP TCP source-ip : 3546 → dest-ip : 3389 
     [SYN] len=48 ttl=115 tos=0x00 srcmac=00:00:00:00:00:00 dstmac=00:10:f3:07[:D]b:2e 
     
    It's not logging anything in the IPS log.

    Sometimes, after re-creating rules and turning rules off and on (desperately trying to get thing working...) it suddenly all starts working again...
    And without me changing anything after that (glad it's all working...) sometimes hours, sometimes a day, it all stops working again and Astaro started to drop the packets...

    Thanks for your help so far.
    Regards,
    Erwin.
  • 0 in reply to ehofstede
    That's the live log.  There's more information in the full log lines.  But before that, try turning IPS off and see if that solves the problem.  If so, you may need to add an IPS Source exception for your Home IP.  Whether that works or not, I'd be curious to see the line from the full log.

    Cheers - Bob
  • 0 in reply to BAlfson
    That's the live log.  There's more information in the full log lines.  But before that, try turning IPS off and see if that solves the problem.  If so, you may need to add an IPS Source exception for your Home IP.  Whether that works or not, I'd be curious to see the line from the full log.


    Hereby the line from the log file;
    2009:11:01-21:10:02 astaro ulogd[3018]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" seq="0" initf="eth0" outitf="unknown" dstmac="00:10:f3:07[:D]b:2e" srcmac="00:00:00:00:00:00" srcip="source" dstip="destination" proto="6" length="48" tos="0x00" prec="0x00" ttl="115" srcport="2044" dstport="3389" tcpflags="SYN"

    I have already tried exceptions in the IPS. I'll turn it off to see what happens...
    One moment everything works fine, the other moment everything is blocked. 

    Thanks!
    Regards,
    Erwin.
  • 0
    The packet was dropped by fwrule 60001, which is the default drop rule for the INPUT chain, so the packet was not going through the Astaro; the Astaro was the destination.

    Please show a picture of your DNAT/SNAT rules.
  • 0
    I hope this works... I attached a .jpg, never attached a picture before...

    EXT_G_Personeel = group with source locations
    Web surfing = default Astaro websurfing services
    INT_H_PHHOST001 = server with outlook webaccess
    EXT_H_HHW-Erwin = my home ip address

    I turned IPS off, didn't make any difference.

    Thanks!
  • 0
    OK, the blocked packet was not selected by your DNAT, so the Astaro thought its destination was the Astaro itself and dropped the packet.  That would mean that the IP the packet came from is different from the one in the host definition for EXT_H_HHHW-Erwin.

    Cheers - Bob
  • 0
    Sorry, but that's not it. My ip address didn't change. And also the addresses in the group EXT_G_Personeel. These addresses didn't change either.

    The problem is that at one moment it all works just fine and at the next moment Astaro is blocking all traffic. It also can solve itself over time, but then it's only for the time being...
  • 0
    That's the best I can do; that's what the log says given your DNAT rule.  If it's inconsistent, then it's hard to diagnose.  The only thing left would seem to be a reload from ISO and a restore from a configuration backup.

    Cheers - Bob
  • 0
    It looks like it has something to do with performance. If Astaro is busy with something it starts dropping these packages. The machine I was referring to earlier still has the issue, even after a re-install, but after a replacement, faster machine, more memory, the problem is solved.

    At work, when Astaro is really, really busy, it's acting the same way, one moment it all works, the other moment all traffic is blocked. Like as if Astaro is protecting itself, blocking packages until it isn't that busy anymore. And it's only applying to the NAT/DNAT rules... VPN (with Astaro client) still works fine, email functionality works fine, packet filter and http proxy are also working fine, so it's only happening with NAT/DNAT rules.