Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 2 subscribers
  • Views 19379 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

What arguments does the "Live Log: Packet filter" accept?

Jmangione
Hi.

I have a computer connected on the "outside" to an ASG v7 firewall, with no intervening devices. I can ping to the firewall's outside IP address (let's call that address "A") from that computer. I have one NAT rule that I want to set up, which will hide the internal address (let's call that internal IP address "B") from the outside world. I believe this is the most common way to configure NAT: outside address accessible to the world, but inside address hidden from the outside world. 

So, the NAT rule I have set up is DNAT: 

traffic source: any
traffic service: any
traffic destination: A+1

NAT mode: DNAT

destination: B
destination service: any

Automatic packet filter rule: checked.



I have a single packet filter rule, Rule 1, set up: ANY -> ANY -> ANY (anything coming from any address, going to any address, using any protocol, should be allowed).

I initiate a ping request to A - that works.
I initiate a ping request to A+1 - that doesn't work.
I initiate a ping request to B - that works!!!

Furthermore, every time I initiate a ping, I watch the "Live Log: Packet filter", but all I get are "Webadmin Connection" lines (since I have the Webadmin interface opened up in a separate window). I have two questions about that:

1. Why don't I see any pings in the "Live log", either when pinging to A, A+1, or B? (I do have every ICMP and Ping checkbox checked on in the ICMP tab of the Network Security -> Packet Filter screen.)

2. How can I use the "Filter" text field to either hide all the "Webadmin Connection" lines, or just show any ping activities? I have looked around the documentation to see what arguments that packet filter will accept, but have not seen a word about that.

Ironically, I can ping into the internal network through the firewall, so I get ping replies from B, B+1, B+2. (I did tell Astaro to let pings go through, but I was expecting to get ping replies from A+1, A+2, etc.)

After that, I tried to change the "DNAT" to "SNAT", then "Full NAT". No matter what I set it to, I still get the same results: I can ping into the internal network (B addresses), not the A+1 addresses, but I never see any ping activities on the "Live Log: Packet filter" screen.

What have I colossally hosed up???

Thanks for your advice.


This thread was automatically locked due to age.
Parents
  • 0
    After rereading this thread, it appears that there is a disagreement about whether ping traffic would ever show up in logs, no matter what I have set  up on  the firewall in relation to PING or ICMP.

    DOES ANYONE KNOW WHETHER ASTARO SECURITY GATEWAY V7 WILL SHOW PING TRAFFIC IN ANY LOGS ANYWHERE? Or, am I just wasting my time looking?????

    Earlier, TCPDUMP was mentioned, but I don't want to have to shell out and start screwing around with other processes external to the ASG interface. If there is no other answer than TCPDUMP, then I'm going to have to rethink this whole thing.....
  • 0 in reply to Jmangione
    As far as ping / icmp traffic goes, if you really want to log all of that, just disable the ICMP / PING options in the Packet Filter config, then manually add rules (with logging enabled) to the packet filter rule list.
  • 0 in reply to BrucekConvergent
    As far as ping / icmp traffic goes, if you really want to log all of that, just disable the ICMP / PING options in the Packet Filter config, then manually add rules (with logging enabled) to the packet filter rule list.


    I tried this, but could not get it to work.....I never saw any ping traffic in my "Live Log: packet filter" screen.
Reply
  • 0 in reply to BrucekConvergent
    As far as ping / icmp traffic goes, if you really want to log all of that, just disable the ICMP / PING options in the Packet Filter config, then manually add rules (with logging enabled) to the packet filter rule list.


    I tried this, but could not get it to work.....I never saw any ping traffic in my "Live Log: packet filter" screen.
Children
  • 0 in reply to Jmangione
    I have a packet filter rule that states Internal (network) > ping > Any and the traffic shows in the live log, so I can confirm it works if ICMP and PING settings are unchecked on the ICMP tab.
  • 0 in reply to Jmangione
    I tried this, but could not get it to work.....I never saw any ping traffic in my "Live Log: packet filter" screen.


    Then you have probably made something wrong.

    Reasons could be:
    - you didn´t have logging enabled on your packetfilter rule
    - another packetfilter rule existed which allowed ICMPs and which matched BEFORE the other rules
    - you have had an active filter criteria in the live log (so the ICMPs were filtered out in the log viewer)
    - the ICMps you send to the ASG never reached the ASG
    ...