Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 2 subscribers
  • Views 19779 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Can't open port 80

watnemoe1@comcast.net
I have a problem. I have the correct NAT rule in place, DNAT, source: any, service HTTP, destination: WAN, destination translation:web server.

I can see the inbound traffic passing the DNAT rule, but it never hits the firewall rule. The logs don't even show a failure to port 80. Any help would be great

My firewall rule is source:any service: http Destination:web server


This thread was automatically locked due to age.
Parents
  • 0
    If the firewall is dropping your SYN ACK packet, it has already closed the conntrack entry for that connection before your internal machine can even respond to the ACK.  My first guess would be that it is sending enough SYN packets in a short enough amount of time before your server responds which should cause the Sophos to kill the connection.  I noticed in your testing that it appears you're using ShieldsUp to test the port being open.  Is that true?  While I use ShieldsUp sometimes to test specific ports being open from the WWW, I would caution using it in standard mode.  This will trip the Sophos' portscan detection.  It's important to note that this has to be disabled specifically.  Turning IPS off still leaves Portscan detection on which will cause this test to fail.
  • 0 in reply to ChristopherRuh
    If the firewall is dropping your SYN ACK packet, it has already closed the conntrack entry for that connection before your internal machine can even respond to the ACK.  My first guess would be that it is sending enough SYN packets in a short enough amount of time before your server responds which should cause the Sophos to kill the connection.  I noticed in your testing that it appears you're using ShieldsUp to test the port being open.  Is that true?  While I use ShieldsUp sometimes to test specific ports being open from the WWW, I would caution using it in standard mode.  This will trip the Sophos' portscan detection.  It's important to note that this has to be disabled specifically.  Turning IPS off still leaves Portscan detection on which will cause this test to fail.


    Sorry, in the first line I meant to say that it is closing before your machine can respond to the SYN packet, not the ACK packet.  Though I'm sure most people caught my drift.
  • 0 in reply to ChristopherRuh
    Sorry, in the first line I meant to say that it is closing before your machine can respond to the SYN packet, not the ACK packet.  Though I'm sure most people caught my drift.


    Ok I tried a different site, and got the same result. Then I tested again after I changed the rule to HTTPS and it worked. Now what am I missing
Reply
  • 0 in reply to ChristopherRuh
    Sorry, in the first line I meant to say that it is closing before your machine can respond to the SYN packet, not the ACK packet.  Though I'm sure most people caught my drift.


    Ok I tried a different site, and got the same result. Then I tested again after I changed the rule to HTTPS and it worked. Now what am I missing
Children
No Data