Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 2 subscribers
  • Views 16472 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Explicitly Allowed Packets Still Being Blocked!

Sambo
I've been watching my live packet filter logs and notice that there are a lot of incoming packets being blocked which are explicitly allowed via Packet Filter rules.  Do the PF rules show blocked IPS packets as well or something?  The packets in question are logged as being from the Internet to Astaro's externally facing interface address.  There is an ADSL router between Astaro and the Internet.  

I also enabled logging of allowed packets but it doesn't seem to be letting anything in!  The rule is:

Source: Internet (also tried 'Any')
Service: App service definition
Destination: Internal App Server IP
No other restrictions

There are also no explicit blocking PF rules configured.

How can I determine what is blocking these packets?  The IPS live logs and stats show no packets blocked (although enabling all attack pattern rules definitely affects traffic flow!).

Does anyone have any ideas what might be going on here?


This thread was automatically locked due to age.
Parents
  • 0
    Hmm, that seemed to help for a while, but now I'm getting blocked packets to that port again!?  It's torrent traffic if that helps and I guess some of that kind of traffic may not be that 'clean' and could have packets going all over the place / malformed etc etc.

    Edit:  Errrr, ok, this is weird.  I disabled the DNAT rule and then got a HUGE flood of blocked AND allowed packets in the PF logs!!??  All allowed packets were reporting my internal server as the destination, all blocked packets were reporting Astaro's WAN IP.

    What the hell is going on here!? [:S]


    Edit 2: After disabling my manual PF rule & enabling 'log initial packets' on the DNAT rule, I get a heap of 'Connection using NAT' entries with the destination of my Astaro WAN IP.  Hmm, maybe I'm seeing the very small percentage of blocked packets in the logs when errors only are being logged.  I think the proof of the real total number of packets comes when you enable the DNAT initial packet logging.  I'm still not sure why any of these packets are being blocked however.
Reply
  • 0
    Hmm, that seemed to help for a while, but now I'm getting blocked packets to that port again!?  It's torrent traffic if that helps and I guess some of that kind of traffic may not be that 'clean' and could have packets going all over the place / malformed etc etc.

    Edit:  Errrr, ok, this is weird.  I disabled the DNAT rule and then got a HUGE flood of blocked AND allowed packets in the PF logs!!??  All allowed packets were reporting my internal server as the destination, all blocked packets were reporting Astaro's WAN IP.

    What the hell is going on here!? [:S]


    Edit 2: After disabling my manual PF rule & enabling 'log initial packets' on the DNAT rule, I get a heap of 'Connection using NAT' entries with the destination of my Astaro WAN IP.  Hmm, maybe I'm seeing the very small percentage of blocked packets in the logs when errors only are being logged.  I think the proof of the real total number of packets comes when you enable the DNAT initial packet logging.  I'm still not sure why any of these packets are being blocked however.
Children
No Data