Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 2 subscribers
  • Views 532 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[8.102 BUG] System allows defective DNAT config

BarryG
Hi, after setting up a second EXT connection and Multipath Rules on a friend's firewall, I added a DNAT for the second EXT interface.

I apparently forgot to fill in the "Destination" fields, and saved the rule and turned it on.
It did not warn me that this was an invalid configuration.

Afterwards, all internet access was broken.

Inbound pings worked, but outbound pings and traceroutes from LAN or from the firewall itself all only went out the EXT and returned immediately (they appeared to be working but were only going the first hop).

DNS and all other traffic failed.

Please fix the DNAT dialog so that a misconfiguration with no DEST will generate a warning.

Thank you,
Barry


This thread was automatically locked due to age.
Parents
  • 0
    Hi, I'm was pretty sure that the misconfiguration had been that I failed to provide a Destination.

    However, you're right, I can't recreate it without a destination.

    Definitely, the problem went away when I deleted the DNAT.

    It is also possible I accidentally chose the EXT Network instead of the IP as the incoming Traffic Destination; it is rather hard to see long definition names, such as secondary addresses, in the network list on the left.
    Can you do a test with that misconfiguration?

    Also, the DNAT contained Traffic Source: ANY, on ANY service, if that makes a difference.

    Multipath is configured with both EXT interfaces as Active on the Uplink Balancing screen, and there are 3 Multipath rules:

    1: from LAN network set 1, Svc ANY, Dest Internet, use EXT2 (Itf Persistence)

    2: from LAN network set 2, Svc ANY, Dest Internet, use EXT1 (Itf Persistence)

    3: from LAN network set 3, Svc ANY, Dest Internet, use EXT1 (Itf Persistence)

    The network sets are simply network definitions within the LAN; there is only 1 LAN (class C), so the sets are CIDRs within that LAN:
    set1: 192.168.10.128/27
    set2: 192.168.10.96/27
    set3: 192.168.10.64/27

    Thanks,
    Barry
Reply
  • 0
    Hi, I'm was pretty sure that the misconfiguration had been that I failed to provide a Destination.

    However, you're right, I can't recreate it without a destination.

    Definitely, the problem went away when I deleted the DNAT.

    It is also possible I accidentally chose the EXT Network instead of the IP as the incoming Traffic Destination; it is rather hard to see long definition names, such as secondary addresses, in the network list on the left.
    Can you do a test with that misconfiguration?

    Also, the DNAT contained Traffic Source: ANY, on ANY service, if that makes a difference.

    Multipath is configured with both EXT interfaces as Active on the Uplink Balancing screen, and there are 3 Multipath rules:

    1: from LAN network set 1, Svc ANY, Dest Internet, use EXT2 (Itf Persistence)

    2: from LAN network set 2, Svc ANY, Dest Internet, use EXT1 (Itf Persistence)

    3: from LAN network set 3, Svc ANY, Dest Internet, use EXT1 (Itf Persistence)

    The network sets are simply network definitions within the LAN; there is only 1 LAN (class C), so the sets are CIDRs within that LAN:
    set1: 192.168.10.128/27
    set2: 192.168.10.96/27
    set3: 192.168.10.64/27

    Thanks,
    Barry
Children
No Data