Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 23 replies
  • Subscribers 2 subscribers
  • Views 19430 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Automatic Firewall rules option troubles

coewar
Hi.

I found an issue with the "Automatic firewall rules" in the Server load balancing section, and I suppose it might be happening in other areas as well. I contacted support about this and they just replied to me to add a new feature, which I will. But thought to put something more actively read here.

First thing, when I configured a load balancing rule and turned on the auto rule, it worked fine. But it does not log that specific traffic. (this is the feature to add.) So to try to do it myself, I created a FW rule for the same port and destination and enabled logging. SHOCKINGLY..  it does not allow the traffic! And I have no way of knowing what the auto rule does because I can't see it anywhere (another feature).

But that's not all....
After deleting the FW rule I put in, the traffic CONTINUED TO FAIL! yet without logging. So now I'm sitting with no FW rule and the load balancing rule with the auto FW rule option active with no traffic. Solution? I had to disable the auto-FW rule, save it, and then re-enable it.

I also tried performing the test by first disabling the auto-FW rule and then making my manual FW rule but still it did not allow the traffic.

What gives?


This thread was automatically locked due to age.
Parents
  • 0
    I do not even see any option to bind a FW rule to any interface.

    Sorry that I was unclear - I meant the definitions used in the rule.

    DESTINATION is my External WAN IP which also is not actually bound to the External NIC. 

    That's what I was talking about.  The "External (Address)" object is bound to the External interface.  In any case, the 'Destination' in a rule for a real server behind 'Load Balancing' has to be the internal IP of the server, not the public IP of the Virtual Server.  Try what I suggested above: 'Any -> HTTPS -> {10.0.20.90 with 'Interface: >'} : Allow'.

    Does it work now?

    Cheers - Bob
  • 0 in reply to BAlfson
    Try what I suggested above: 'Any -> HTTPS -> {10.0.20.90 with 'Interface: >'} : Allow'.

    Cheers - Bob


    No.. I don't want to try that. [:)]  10.0.20.90 is one of the IP's of a real server. That's the job of the load balancing configuration. The FW rule is supposed to just allow the incoming traffic to hit the "Virtual Server" right?

    Otherwise, how can I create FW or DNAT rules to essentially replace the load balancing configuration? Which is not really what I want to do anyway even if it were possible. My only goal is to log what I'm getting, by putting in a manual FW rule.

    Are you saying I should create FW rule where the Destination is the private IP of the router? I'll try that, but it does not sound like anything that's correct because the packets coming in will never have that IP.
Reply
  • 0 in reply to BAlfson
    Try what I suggested above: 'Any -> HTTPS -> {10.0.20.90 with 'Interface: >'} : Allow'.

    Cheers - Bob


    No.. I don't want to try that. [:)]  10.0.20.90 is one of the IP's of a real server. That's the job of the load balancing configuration. The FW rule is supposed to just allow the incoming traffic to hit the "Virtual Server" right?

    Otherwise, how can I create FW or DNAT rules to essentially replace the load balancing configuration? Which is not really what I want to do anyway even if it were possible. My only goal is to log what I'm getting, by putting in a manual FW rule.

    Are you saying I should create FW rule where the Destination is the private IP of the router? I'll try that, but it does not sound like anything that's correct because the packets coming in will never have that IP.
Children
No Data