Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 26 replies
  • Subscribers 2 subscribers
  • Views 16910 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

7.501 Strange Packet Filter behaviour

Suppentrulli
Hi Astaro,

i have a strange packet filter behaviour, maybe you can help me.

I'm trying to use my directly connected LDAP-server (ssl, port 636) for user-authentication in Astaro, but astaro always filters the packets.

ASG: 192.168.1.1
LDAP: 192:168.1.2

Rule #1:
Source:
192.168.0.0/24
192.168.1.0/24
192.168.2.0/24

Destination:
192.168.1.2/32
etc.

Service:
ICMP, 443, 53(tcp/udp), 636 etc.

Logfile: 
19:52:20 Default DROP TCP 192.168.1.1 : 42467 → 192.168.1.2 : 636 [SYN] len=60 ttl=64 tos=0x00 srcmac=00:30:18:aa:aa:aa dstmac=00:00:00:00:00:00

19:52:22 Default DROP TCP 192.168.1.1 : 42467 → 192.168.1.2 : 636 [SYN] len=60 ttl=64 tos=0x00 srcmac=00:30:18:aa:aa:aa dstmac=00:00:00:00:00:00  

 
With a dedicated rule with the firewall-interface 192.168.1.1 as source it is working, but not with 192.168.1.0/24. WHY?


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to UrsWeiss
    Hey Whity, thanks for your answer.

    Is there a difference between forward and output rules? I thought that a firewall applies its ruleset for every packet - regardless of its source.
  • 0 in reply to Suppentrulli
    Normally there is an input, forward and output chain (not rule as i wrote in the last post). There are some more, but this are the importest ones.

    Depending on the chain the rule is in it affects different packages:


    • Input affects packages coming from the outside to the box itself.
    • Outgoing affects packages from the box itself to the outside
    • And forward affects packages coming in on one interface and leaves the box over another one (a router)


    So, i would say that the ASG chooses itself to which chain it adds the rule. If it is a rule which affects f.ex. networks in your case it adds it to the forward chain. If it is a rule where source or destination is an interface of the ASG it puts it to the output or input chain.