Port 8080

Hi, check the PacketFilter and IPS logs, and WebSecurity if you're using that too.

Barry

IPS and websecurity are turned off. 

when I attempt to telnet to 8080 on the webserver I get this 

09:21:10 Packet filter rule #7 TCP my.ip.add.ext : 26669 
 → int.web.srv.add : 8080 
 [SYN] len=48 ttl=119 tos=0x00 srcmac=xx:xx:xx:xx:xx:xx dstmac=xx:xx:xx:xx:xx:xx 

also if I do a nestat on the webserver I see the connection coming through, but it does not seem able to get back out.

also on a connection to port 80 I see this, and port 80 connections work. 

09:26:28 Connection using NAT TCP my.ip.add.ext : 26947 
 → int.web.srv.add : 80 
 [SYN] len=48 ttl=120 tos=0x00 srcmac=xx:xx:xx:xx:xx:xx dstmac=xx:xx:xx:xx:xx:xx

Hi, Dave, and welcome to the User BB!

also if I do a nestat on the webserver I see the connection coming through, but it does not seem able to get back out. 

That sounds like the webserver is the problem - maybe it doesn't have the right default gateway?

Also, when posting lines from the Firewall log, there's more information in the full log.  The Live Log is almost useless when trying to understand what's happening.  In this case, since these packets passed, it doesn't really make that much difference.

Cheers - Bob

Hi, Dave, and welcome to the User BB!


That sounds like the webserver is the problem - maybe it doesn't have the right default gateway?

Also, when posting lines from the Firewall log, there's more information in the full log.  The Live Log is almost useless when trying to understand what's happening.  In this case, since these packets passed, it doesn't really make that much difference.

Cheers - Bob

If it did not have the correct gw I would not be able to get out on prot 80, or 113, or 22, etc... this issue only seems to affect 8080 to my knowledge you cannot have a different gw by port.

That's right, so, if the initial traffic reaches it but doesn't return, the problem must be some other setting on the webserver.

Then again...  are you sure the traffic is reaching it?  If these are two separate NAT rules, just humor me here, try changing the DNAT for HTTP to one for "Web Surfing" (leaving the Destination service blank).  Also, please confirm that all of your definitions have 'Interface: >' instead of being bound to a specific interface.

Cheers - Bob

That's right, so, if the initial traffic reaches it but doesn't return, the problem must be some other setting on the webserver.

I don't think so, i can telnet to port 8080 fin from any internal network host as well as from the loopback. I feel like it has to be something strange with NAT

Then again...  are you sure the traffic is reaching it?  If these are two separate NAT rules, just humor me here, try changing the DNAT for HTTP to one for "Web Surfing" (leaving the Destination service blank).  Also, please confirm that all of your definitions have 'Interface: >' instead of being bound to a specific interface..

Here are my NAT Rules 
  
 1 DNAT [8080]  Webserver 
 
Traffic selector:  Any →  REF_PStFwbBFam →  External_cable [External Webserver] (Network) 
 
Destination translation:  Webserver  REF_GTMGpeOUOS 
 
Automatic packet filter rule:  
 
Initial packets are logged:  
 
  
   
 2 DNAT [ HTTP]  Webserver 
 
Traffic selector:  Any →  Any →  External_cable [External Webserver] (Address) 
 
Destination translation:  Webserver 
 
Automatic packet filter rule:  
 
Initial packets are logged:  
 
  
   
 3 Full NAT [Reverse NAT]  Webserver 
 
Traffic selector:  Internal (Network) →  Any →  External_cable [External Webserver] (Address) 
 
Source translation:  Internal (Address) 
 
Destination translation:  Webserver

You'll need to determine for yourself whether the desired packets are or are not reaching the server.

As for the NAT rules, it's not possible to see if 1 is correct.  2 looks like it forwards everything.  3 looks like it could be replaced by a DNS static entry pointing an FQDN at webserver.

Cheers - Bob