Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 2894 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

What am I doing wrong??Packet filter and port forwarding.

jollos
HI, I am trying to forward VNC through to a PC on my internal interface.

I have put in the packet filter rule: "internet - VNC - Host (PC) allow always"

In DNAT the rule is - "Internet - VNC -Host
Destination : Host
Destination Service: VNC

It is getting a default drop message in the filter log.

Just clear up any of the silly stuff, both rules are 1st in the order and they are turned on [:)]


What am I doing wrong here?


This thread was automatically locked due to age.
  • 0
    Hi,

    you made a simple mistake. Because you try to connect from internet to your external ip address the traffic destination is not the host but the ASG, precisely: External (WAN) Address.

    From there the ASG will do the NAT for you, so the Destination Host is the Host where the vnc server is running. Destination Service can be left blank or set to VNC.

    If you use "automatic packet filter rule", there is no need for a packet filter rule.

  • 0
    I get you, thanks. Regarding the automatic packet filter rule. I did try creating the dnat with that box checked, but it did not seem to add it to the packet filter list. I may have been an invisible rule I guess, but If that is the case, I would rather see it in the packet filter list. Ill give it a go, and let you know the result.
  • 0
    Yeah, that has worked a treat... Thanks again
  • 0 in reply to jollos
    Regarding the automatic packet filter rule. I did try creating the dnat with that box checked, but it did not seem to add it to the packet filter list. I may have been an invisible rule I guess, but If that is the case, I would rather see it in the packet filter list.


    We do not display the automatic packet filter rules in the PF rule list, so creating them manually is the way to do it if you want to see everything in WebAdmin
  • 0 in reply to ChrisW28
    Hi,

    you made a simple mistake. Because you try to connect from internet to your external ip address the traffic destination is not the host but the ASG, precisely: External (WAN) Address.


    Hey Chris, thanks for your explanatory post, I installed Astaro today and had been wrestling with port forwarding to my CCTV server for the last 3 hours.

    Cheers,

    Dan
  • 0 in reply to Jack Daniel
    We do not display the automatic packet filter rules in the PF rule list, so creating them manually is the way to do it if you want to see everything in WebAdmin


    Pardon what may be a silly question, but "Why not?"    I would love to at least have an option to show them.  Also, are the "automatic" rules before or after the ones I can see?

    Regards,
      jmadden
  • 0
    Hi, automatic rules have priority over manual PF rules.

    There's a feature request for being able to view all the rules, you can VOTE at:
    WebAdmin: Display of Auto Packet Filter Rules

    Barry
  • 0
    Hi, automatic rules have priority over manual PF rules.

    Barry, I think that might confuse some people.  I know you already know what I'm about to say (heck, I may have learned it from you!) - They don't really have priority, but it acts like that.

    The general sequence in which packets are considered in Astaro is: DNATs first, then Proxies, then manual routes and packet filter rules, finally, SNATs.  So, if you have auto packet filter checked in a DNAT, the manual packet filter rule never sees packets handled by the DNAT.

    Another example of a sequencng problem that some people have is with the SMTP Proxy.  If You start with a DNAT of inbound SMTP traffic to your internal mail server, then set up the SMTP Proxy, the proxy doesn't see the traffic until you disable the DNAT.

    Cheers - Bob
  • 0 in reply to BAlfson
    Barry, I think that might confuse some people.  I know you already know what I'm about to say (heck, I may have learned it from you!) - They don't really have priority, but it acts like that.

    The general sequence in which packets are considered in Astaro is: DNATs first, then Proxies, then manual routes and packet filter rules, finally, SNATs.  So, if you have auto packet filter checked in a DNAT, the manual packet filter rule never sees packets handled by the DNAT.

    Another example of a sequencng problem that some people have is with the SMTP Proxy.  If You start with a DNAT of inbound SMTP traffic to your internal mail server, then set up the SMTP Proxy, the proxy doesn't see the traffic until you disable the DNAT.

    Cheers - Bob


    Bob, you just made my day.  [:)] That cleared up many questions we've had.  Thank you!