Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 2 subscribers
  • Views 19796 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Port forward TCP 8000 -> TCP 80 (HTTP)

ncsnetwork
Help ... Help ...

I have 2 webservers inside the office.
The first one which is HTTP works like a charm but the 2nd webserver I am trying to use port 8000 externally and keep getting this.

Default DROP TCP X.X.X.X:17499 -> 10.0.1.14:80 [SYN]

DNAT [demo]
Traffic selector: Any -> HTTP -> WAN1
Destination translation: demo HTTP
Automatic Firewall rule: check mark
(THIS WORKS)

DNAT [qa]
Traffic selector: Any -> 8000 -> WAN1
Destination translation: qa HTTP
Automatic Firewall rule: check mark
(DOES NOT WORK)

I defined 8000 as:
Name: 8000
Type of Defination: TCP
Desination port: 8000
Source port: 1:65535


This thread was automatically locked due to age.
  • 0
    try removing the automatic FW rule and create a manual PF rule
  • 0 in reply to dknyinva
    Is the internal Webserver running on Port 8000 as well? Because you don't seem to translate it back to 80...

    EDIT: Sorry, ignore me [:)]. You translate to 'qa' HTTP (Port 80, right)

    Is the internal QA webserver configured with a default route to the ASG? If this is not what you want, you need a Full NAT rule.
  • 0
    I created the new DNAT with no automatic firewall rules.

    I added the firewall rule
    Source: WAN1
    Service: 8000
    Destination: qa

    I also cloned that rule and placed HTTP

    Didn't work.

    Yes the qa server has a default gateway as the ASG.
  • 0
    Hi ncsnetwork, and welcome to the User BB!

    Your firewall rule in #4 would need to be Source: Any or Internet instead of WAN1.  From your first post, it appears that your configuration is correct if qa has the Astaro as its default gateway, so that test in Post #4 shouldn't give any different result.

    Please [Go Advanced] below and show an actual pic of your failing DNAT rule.  Also, try trollvottel's Full NAT suggestion (Source Translation: Internal (Address)) just to help figure out what's happening.

    In general in D/SNAT rules, it's a best practice to leave unchanged fields blank.

    Cheers - Bob
  • 0
    Attached are the screenshots of:
    DNAT
    Full NAT
    Firewall Rules
    http://www.ncsnetwork.net/astaro
  • 0
    That all looks perfect to me.  The 'Any -> {8000} -> qa : Allow' rule isn't necessary.

    With the Full NAT rule, if you still see Default DROP TCP X.X.X.X:17499 -> 10.0.1.14:80 [SYN] in the live log, please show the complete line from the full log as it contains more information.  And, during debugging, let's enable logging on the NAT rule and the FW rule.

    Cheers - Bob
  • 0
    16:56:18 Default DROP 2 192.168.1.1     
     → 224.0.0.1     
     len=28 ttl=1 tos=0x00 srcmac=1c:af:f7[:D]b:a9:e5 dstmac=0:2:b3[:D]4[:D]b:8f 
     
    16:56:26 Default DROP UDP 10.0.1.126 : 626 
     → 224.0.0.1 : 626 
     len=62 ttl=1 tos=0x00 srcmac=34:15:9e:2e:e2:5a dstmac=0:2:b3[:D]4[:D]b:8f 
     
    16:56:38 Default DROP 2 192.168.2.1     
     → 224.0.0.1     
     len=28 ttl=64 tos=0x00 srcmac=e8:be:81:ef:ac:95 dstmac=0[:D]:56:6f:56:95 
     
    16:56:56 Default DROP UDP 10.0.1.126 : 626 
     → 224.0.0.1 : 626 
     len=62 ttl=1 tos=0x00 srcmac=34:15:9e:2e:e2:5a dstmac=0:2:b3[:D]4[:D]b:8f 
     
    16:57:26 Default DROP UDP 10.0.1.126 : 626 
     → 224.0.0.1 : 626 
     len=62 ttl=1 tos=0x00 srcmac=34:15:9e:2e:e2:5a dstmac=0:2:b3[:D]4[:D]b:8f 
     
    16:57:38 Default DROP 2 192.168.2.1     
     → 224.0.0.1     
     len=28 ttl=64 tos=0x00 srcmac=e8:be:81:ef:ac:95 dstmac=0[:D]:56:6f:56:95 
     
    16:57:56 Default DROP UDP 10.0.1.126 : 626 
     → 224.0.0.1 : 626 
     len=62 ttl=1 tos=0x00 srcmac=34:15:9e:2e:e2:5a dstmac=0:2:b3[:D]4[:D]b:8f 
     
    16:58:23 Default DROP 2 192.168.1.1     
     → 224.0.0.1     
     len=28 ttl=1 tos=0x00 srcmac=1c:af:f7[:D]b:a9:e5 dstmac=0:2:b3[:D]4[:D]b:8f 
     
    16:58:23 Connection using NAT TCP 216.118.153.208 : 4736 
     → 207.231.236.17 : 8000 
     [SYN] len=48 ttl=113 tos=0x00 
     
    16:58:23 Default DROP TCP 216.118.153.208 : 4736 
     → 10.0.1.14 : 80 
     [SYN] len=48 ttl=112 tos=0x00 srcmac=0:2:b3[:D]4[:D]b:8f 
     
    16:58:26 Connection using NAT TCP 216.118.153.208 : 4736 
     → 207.231.236.17 : 8000 
     [SYN] len=48 ttl=113 tos=0x00 
     
    16:58:26 Default DROP TCP 216.118.153.208 : 4736 
     → 10.0.1.14 : 80 
     [SYN] len=48 ttl=112 tos=0x00 srcmac=0:2:b3[:D]4[:D]b:8f 
     
    16:58:26 Default DROP UDP 10.0.1.126 : 626 
     → 224.0.0.1 : 626 
     len=62 ttl=1 tos=0x00 srcmac=34:15:9e:2e:e2:5a dstmac=0:2:b3[:D]4[:D]b:8f 
     
    16:58:32 Connection using NAT TCP 216.118.153.208 : 4736 
     → 207.231.236.17 : 8000 
     [SYN] len=48 ttl=113 tos=0x00 
     
    16:58:32 Default DROP TCP 216.118.153.208 : 4736 
     → 10.0.1.14 : 80 
     [SYN] len=48 ttl=112 tos=0x00 srcmac=0:2:b3[:D]4[:D]b:8f 
     
    16:58:32 Connection using NAT TCP 216.118.153.208 : 4742 
     → 207.231.236.17 : 8000 
     [SYN] len=48 ttl=113 tos=0x00 
     
    16:58:32 Default DROP TCP 216.118.153.208 : 4742 
     → 10.0.1.14 : 80 
     [SYN] len=48 ttl=112 tos=0x00 srcmac=0:2:b3[:D]4[:D]b:8f 
     
    16:58:36 Connection using NAT TCP 216.118.153.208 : 4742 
     → 207.231.236.17 : 8000 
     [SYN] len=48 ttl=113 tos=0x00 
     
    16:58:36 Default DROP TCP 216.118.153.208 : 4742 
     → 10.0.1.14 : 80 
     [SYN] len=48 ttl=112 tos=0x00 srcmac=0:2:b3[:D]4[:D]b:8f 
     
    16:58:39 Default DROP 2 192.168.2.1     
     → 224.0.0.1     
     len=28 ttl=64 tos=0x00 srcmac=e8:be:81:ef:ac:95 dstmac=0[:D]:56:6f:56:95 
     
    16:58:42 Connection using NAT TCP 216.118.153.208 : 4742 
     → 207.231.236.17 : 8000 
     [SYN] len=48 ttl=113 tos=0x00 
     
    16:58:42 Default DROP TCP 216.118.153.208 : 4742 
     → 10.0.1.14 : 80 
     [SYN] len=48 ttl=112 tos=0x00 srcmac=0:2:b3[:D]4[:D]b:8f 
     
    16:58:56 Default DROP UDP 10.0.1.126 : 626 
     → 224.0.0.1 : 626 
     len=62 ttl=1 tos=0x00 srcmac=34:15:9e:2e:e2:5a dstmac=0:2:b3[:D]4[:D]b:8f 
     
    16:58:56 Connection using NAT TCP 216.118.153.208 : 4755 
     → 207.231.236.17 : 8000 
     [SYN] len=48 ttl=113 tos=0x00 
     
    16:58:56 Default DROP TCP 216.118.153.208 : 4755 
     → 10.0.1.14 : 80 
     [SYN] len=48 ttl=112 tos=0x00 srcmac=0:2:b3[:D]4[:D]b:8f 
     
    16:59:00 Connection using NAT TCP 216.118.153.208 : 4755 
     → 207.231.236.17 : 8000 
     [SYN] len=48 ttl=113 tos=0x00 
     
    16:59:00 Default DROP TCP 216.118.153.208 : 4755 
     → 10.0.1.14 : 80 
     [SYN] len=48 ttl=112 tos=0x00 srcmac=0:2:b3[:D]4[:D]b:8f 
     
    16:59:08 Connection using NAT TCP 216.118.153.208 : 4755 
     → 207.231.236.17 : 8000 
     [SYN] len=48 ttl=113 tos=0x00 
     
    16:59:08 Default DROP TCP 216.118.153.208 : 4755 
     → 10.0.1.14 : 80 
     [SYN] len=48 ttl=112 tos=0x00 srcmac=0:2:b3[:D]4[:D]b:8f
  • 0
    16:58:56 Connection using NAT TCP 216.***.yyy.208 : 4755 → 207.***.yyy.17 : 8000 [SYN] len=48 ttl=113 tos=0x00 

    16:58:56 Default DROP TCP 216.***.yyy.208 : 4755 → 10.x.y.14 : 80 [SYN] len=48 ttl=112 tos=0x00 srcmac=0:2:b3[:D]4[:D]b:8f 

    Are these lines from the Full NAT rule?  If so, then I would have expected 10.x.y.1 → 10.x.y.14.  Please activate logging on the FW and NAT rules, then let's try again.

    The full Packet Filter log is in 'Logging >> View Log Files'.

    Cheers - Bob
  • 0 in reply to BAlfson

    Are these lines from the Full NAT rule?  If so, then I would have expected 10.x.y.1 → 10.x.y.14.  Please activate logging on the FW and NAT rules, then let's try again.

    The full Packet Filter log is in 'Logging >> View Log Files'.

    Cheers - Bob


    I don't have Packet Filter in the list.
  • 0
    Ah, yes, 8.2 - perhaps it's now called the Firewall log?

    Cheers - Bob