Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 26 replies
  • Subscribers 2 subscribers
  • Views 16903 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

7.501 Strange Packet Filter behaviour

Suppentrulli
Hi Astaro,

i have a strange packet filter behaviour, maybe you can help me.

I'm trying to use my directly connected LDAP-server (ssl, port 636) for user-authentication in Astaro, but astaro always filters the packets.

ASG: 192.168.1.1
LDAP: 192:168.1.2

Rule #1:
Source:
192.168.0.0/24
192.168.1.0/24
192.168.2.0/24

Destination:
192.168.1.2/32
etc.

Service:
ICMP, 443, 53(tcp/udp), 636 etc.

Logfile: 
19:52:20 Default DROP TCP 192.168.1.1 : 42467 → 192.168.1.2 : 636 [SYN] len=60 ttl=64 tos=0x00 srcmac=00:30:18:aa:aa:aa dstmac=00:00:00:00:00:00

19:52:22 Default DROP TCP 192.168.1.1 : 42467 → 192.168.1.2 : 636 [SYN] len=60 ttl=64 tos=0x00 srcmac=00:30:18:aa:aa:aa dstmac=00:00:00:00:00:00  

 
With a dedicated rule with the firewall-interface 192.168.1.1 as source it is working, but not with 192.168.1.0/24. WHY?


This thread was automatically locked due to age.
Parents
  • 0
    Thanks, Bruce, but that was Alan's explanation.  I'm still struggling with the concept of "chains" in this.  I know now that it works like this, but I can't say that I've really understood why.

    Cheers - Bob
Reply
  • 0
    Thanks, Bruce, but that was Alan's explanation.  I'm still struggling with the concept of "chains" in this.  I know now that it works like this, but I can't say that I've really understood why.

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    by the way: why is it not possible to reach servers on a remote side of my ipsec-tunnels from my ASG?

    here is my (new) configuration

    ASG1 (local site):
    eth0: 172.16.0.1 (172.16.0.0/24)
    eth1: 172.16.1.1 (172.16.1.0/24)
    eth2: 172.16.2.1 (172.16.2.0/24)
    eth3: internet via PPPoE

    ASG2 (remote site):
    eth0: 172.17.0.1 (172.17.0.0/24)
    eth1: 172.17.1.1 (172.17.1.0/24)
    eth2: 172.17.2.1 (172.17.2.0/24)
    eth3: internet via PPPoE

    Both ASGs are connected via IPsec-tunnel for each of the local networks.
    All local networks reach all remote networks, everything works as expected. 

    BUT:
    When i try to reach a remote network from ASG itself, the destination is not reachable due to routing-errors: 


    ASG2:/home/login # traceroute 172.16.1.2

    traceroute to 172.16.1.2 (172.16.1.2), 30 hops max, 40 byte packets

     1  ******.local (172.16.2.1)  59.734 ms   60.880 ms   58.959 ms

     2  * * *

     3  * * *

     4  * * *

     5  * * *

     6  * * *

     7  * * *




    172.17.2.2>tracert 172.16.1.2

    

    Routenverfolgung zu 172.16.1.2 über maximal 30 Abschnitte:

    

      1    


    IDEAS?