Explicitly Allowed Packets Still Being Blocked!

remove that packetfilter option and setup the NAT...there's an option to automatically setup the needed PF rule..that'll solve the issue.

Oh, I didn't realize that you had to setup NAT rules for all incoming traffic (thought it was only for port redirection)!  That'll be the issue then!  Thanks! [:)]  Weirdly traffic does still get to the app inside the network!? [:S]

Hmm, that seemed to help for a while, but now I'm getting blocked packets to that port again!?  It's torrent traffic if that helps and I guess some of that kind of traffic may not be that 'clean' and could have packets going all over the place / malformed etc etc.

Edit:  Errrr, ok, this is weird.  I disabled the DNAT rule and then got a HUGE flood of blocked AND allowed packets in the PF logs!!??  All allowed packets were reporting my internal server as the destination, all blocked packets were reporting Astaro's WAN IP.

What the hell is going on here!? [:S]


Edit 2: After disabling my manual PF rule & enabling 'log initial packets' on the DNAT rule, I get a heap of 'Connection using NAT' entries with the destination of my Astaro WAN IP.  Hmm, maybe I'm seeing the very small percentage of blocked packets in the logs when errors only are being logged.  I think the proof of the real total number of packets comes when you enable the DNAT initial packet logging.  I'm still not sure why any of these packets are being blocked however.

you have to then also set the bt client to the port/s forwarded as well or it will spray everywhere and the returns will barf back..[:)]

Yeah, got the BT client set to use the port in question.  It seems mostly behaved now, but I'm still at a loss as to why any packets to this port / host are being blocked at all!

if they are invalid..or malformed..etc etc etc..which log in the blocked packets in..PF?

Yeah, PF log.

ok post some examples..

Sure, not much relevant info however AFAICS:

15:54:20	Connection using NAT	UDP	202.151.18.226:51242 	→ (Astaro Ext IP:App Listening Port)			len=131	ttl=109	tos=0x00	srcmac=(ADSL Router Int Mac)	dstmac=(Astaro Ext Mac)

15:54:23	Connection using NAT	UDP	83.37.32.26:48560	→ (Astaro Ext IP:App Listening Port)			len=131	ttl=115	tos=0x00	srcmac=(ADSL Router Int Mac)	dstmac=(Astaro Ext Mac)

15:54:25	Connection using NAT	TCP	94.64.24.216:10519 	→ (Astaro Ext IP:App Listening Port)	[SYN]		len=48	ttl=111	tos=0x00	srcmac=(ADSL Router Int Mac)	dstmac=(Astaro Ext Mac)

15:54:25	Default DROP		TCP	61.6.236.242:55215 	→ (Astaro Ext IP:App Listening Port)	[ACK PSH FIN]	len=108	ttl=45	tos=0x00	srcmac=(ADSL Router Int Mac)	dstmac=(Astaro Ext Mac)

15:54:26	Connection using NAT	UDP	93.33.2.147:54110 	→ (Astaro Ext IP:App Listening Port)			len=131	ttl=102	tos=0x00	srcmac=(ADSL Router Int Mac)	dstmac=(Astaro Ext Mac)

15:54:28	Connection using NAT	UDP	95.83.26.176:29317 	→ (Astaro Ext IP:App Listening Port)			len=131	ttl=115	tos=0x00	srcmac=(ADSL Router Int Mac)	dstmac=(Astaro Ext Mac)

...

15:55:54 	Default DROP 		UDP	115.113.212.16:1700 	→ (Astaro Ext IP:App Listening Port)			len=131 ttl=107 tos=0x00	srcmac=(ADSL Router Int Mac) 	dstmac=(Astaro Ext Mac)

15:55:54 	Connection using NAT 	UDP 	115.113.212.16:1700 	→ (Astaro Ext IP:App Listening Port)			len=131 ttl=108 tos=0x00 	srcmac=(ADSL Router Int Mac) 	dstmac=(Astaro Ext Mac)

[/B][/I]...

15:56:34 	Default DROP 		TCP 	61.6.236.242:55215 	→ (Astaro Ext IP:App Listening Port)	[ACK PSH FIN] 	len=108 ttl=45 	tos=0x00 	srcmac=(ADSL Router Int Mac) 	dstmac=(Astaro Ext Mac)[/code]



The italicized pair of entries is interesting.

That is the live log, and does not have all of the information in the full log - Please show the same sequesnce from the full log.

Cheers - Bob