Firewall rules - order of precedence

Hi, Trevor,

When this is resolved, you're going to laugh at yourself for making this all so hard. [;)]

In fact, if the only use of the POP3 proxy is to allow access to an internal mail server, you should turn it off.  There's no point in re-scanning emails that already have been checked by the (vastly superior) SMTP Proxy.

What is your mail server?  What mail client is used internally?

Cheers - Bob
PS The one thing that comes before proxies is DNATs.  The fact that yours isn't capturing the unwanted traffic is an indication that the traffic selector isn't quite right.  In fact, for DNATs, in general, you need to use the address object created by WebAdmin (like "External (Address)") as the destination in order for the DNAT to capture traffic sent to the Astaro.

Hi again;

Ok, lets see if I have this correct.

1. big wide www
2. server Astaro sitting as firewall. (3 nics)
3. second server, mail, web, single server sitting in DMZ
4. third network internal Lan

Machines on internal Lan get mail from DMZ via astaro,
astaro already has rules in Network Security -> Firewall -> Rules
.....Internal -> any -> DMZ

Machines on WWW get mail from DMZ via astaro, and due to precedence of Network -> NAT -> DNAT rule
.....Any -> POP3 -> external => DMZ server pop3
there is no need to have the pop3 proxy enable under Mail -> Security -> pop3.

Is the statement by dilandau "The intended purpose for the pop3 proxy is to filter traffic for computers on the local network that are contacting an external mail server" correct. If so, then yes BAlfson I see that I am making it hard for myself, not quite giggling, but at least smiling.  (Sort of one of those OOOhhh moments, I get it..)  Would this explain why when I turned off the DNAT rule and only went with the POP3 proxy people on the WWW couldn't get mail.?

Mail server is Centos 5, mail clients on internal pc's Thunderbird, external people using all sorts of email clients from thunderbird, to android phones default program.

Now also stating that DNAT's comes before Proxies still doesn't explain why my first DNAT rule. 
.....DNAT [BlackHole]
.....Traffic selector: Z-All Blocked Hosts -> Any -> External WAN Address
.....Destination translation: Blackhole (192.168.11.200)
.....Automatic Firewall rule:
.....Initial packets are logged:
isn't sending these unwanted hosts to the 192.168.11.200 (non existent server on DMZ)


I now have a couple of further questions..
From reading BAlfson PS. comment. it has got me thinking that I should also be more specific with some of my definitions. I normally refer to individual entities, ie: an external www hosts by interface set to > instead of interface set to External (WAN). Will this make much impact on the running of the Astaro..


Also following on, in regards to smtp proxy. If I have that enabled, then I don't need a DNAT rule.

One final question..
Where in the order does the Network Security -> Firewall -> rules fit in.
I would have thought that that would have been first, and being first then I thought that the following would have basically drop everything from these "BlockHosts"
"GroupAllBlockedHosts" on any service, destination Any -> Drop.
.........this rule has now been modified to 
"GroupAllBlockedHosts" on any service, destination External Wan Address -> Drop.

Am I still missing the point with some things..

Thanks.
Trevor..

Hi again;

Ok, lets see if I have this correct.

1. big wide www
2. server Astaro sitting as firewall. (3 nics)
3. second server, mail, web, single server sitting in DMZ
4. third network internal Lan

Machines on internal Lan get mail from DMZ via astaro,
astaro already has rules in Network Security -> Firewall -> Rules
.....Internal -> any -> DMZ

Machines on WWW get mail from DMZ via astaro, and due to precedence of Network -> NAT -> DNAT rule
.....Any -> POP3 -> external => DMZ server pop3
there is no need to have the pop3 proxy enable under Mail -> Security -> pop3.

Is the statement by dilandau "The intended purpose for the pop3 proxy is to filter traffic for computers on the local network that are contacting an external mail server" correct. If so, then yes BAlfson I see that I am making it hard for myself, not quite giggling, but at least smiling.  (Sort of one of those OOOhhh moments, I get it..)  Would this explain why when I turned off the DNAT rule and only went with the POP3 proxy people on the WWW couldn't get mail.?

Mail server is Centos 5, mail clients on internal pc's Thunderbird, external people using all sorts of email clients from thunderbird, to android phones default program.

Now also stating that DNAT's comes before Proxies still doesn't explain why my first DNAT rule. 
.....DNAT [BlackHole]
.....Traffic selector: Z-All Blocked Hosts -> Any -> External WAN Address
.....Destination translation: Blackhole (192.168.11.200)
.....Automatic Firewall rule:
.....Initial packets are logged:
isn't sending these unwanted hosts to the 192.168.11.200 (non existent server on DMZ)


I now have a couple of further questions..
From reading BAlfson PS. comment. it has got me thinking that I should also be more specific with some of my definitions. I normally refer to individual entities, ie: an external www hosts by interface set to > instead of interface set to External (WAN). Will this make much impact on the running of the Astaro..


Also following on, in regards to smtp proxy. If I have that enabled, then I don't need a DNAT rule.

One final question..
Where in the order does the Network Security -> Firewall -> rules fit in.
I would have thought that that would have been first, and being first then I thought that the following would have basically drop everything from these "BlockHosts"
"GroupAllBlockedHosts" on any service, destination Any -> Drop.
.........this rule has now been modified to 
"GroupAllBlockedHosts" on any service, destination External Wan Address -> Drop.

Am I still missing the point with some things..

Thanks.
Trevor..