Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 2 subscribers
  • Views 9258 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Firewall rule not working

tuscani
Hello, we have a firewall rule in position 2 that allows two external IPs (they are in a network group) Any/Any access to the internal LAN. The external IPs are VOIP providers that use upper level UDP Ports. Yet the firewall is still dropping the packets. Any idea why? 

The firewall rule in postion 1 is Any\Any\Any but is disabled.

2013:04:17-13:33:42 @ ulogd[4267]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="b8:9b:c9[:D]9:55:ba" dstmac="0:1a:8c:13:61:31" srcip="x.x.x.x" dstip="y.y.y.y" proto="17" length="132" tos="0x00" prec="0x20" ttl="117" srcport="26055" dstport="2108"


This thread was automatically locked due to age.
  • 0
    Hi,

    1. If you're using RFC1918 IP addressing in your LAN, you need a DNAT also.
    If you have one, please post a screenshot of it.

    2. please post a screenshot of your firewall rule and the related host/network definitions.

    Barry
  • 0
    Ok.. I see the same drops even with the Any\Any\Any rule at position 1 enabled. The local subnet is 192.168.20.x/24

    DNAT rule needed???

    Screenshot attached.
  • 0
    Yes, DNAT rule is needed. I suppose that the destination port must go to your internal voip server. Doing the dnat rule with "automatic firewall" checked, the firewall rule will no longer needed.
    And remember:
    "Any to any" must be replaced with "any to (External WAN address) for all traffic going inside
  • 0 in reply to Ol Deda
    Well.. we do not have an internal VOIP server.. we use Polycom Lync supported phones.. and NextUC is a third party unified communucations service provider. So I am confused how to set the DNAT rule, specifically what to translate to?

    For traffic from: NextUC Group
    Using Service: Any
    Going to: WAN external

    Change the destination to: ??
    And the service to: ??

    In the example above, x.x.x.x = their server and y.y.y.y = public IP on our WAN int
  • 0
    Going to: WAN external ADDRESS

    Change destination to: Internal VOIP Server (192.168.20.something)
    change server to: (LEAVE BLANK)

    Barry
  • 0 in reply to BarryG
    Going to: WAN external ADDRESS

    Change destination to: Internal VOIP Server (192.168.20.something)
    change server to: (LEAVE BLANK)

    Barry


    No internal VOIP server. The phones are just DHCP on the 192.168.20.x that connect back to NextUC over internet connection.
  • 0
    Hmm... DNAT will be difficult then.

    If these are SIP devices, you can disable your firewall rule and try the VOIP Security feature in Astaro/UTM... put LAN Network as the source/clients, and NextUC Group as the server.

    Barry
  • 0
    Ok I will try that.. but I am still curious why the firewall drops the packet.. is it because it doesn't know where to route it?
  • 0
    I like Barry's solution.  Otherwise, if you want to let the external servers reach IPv4 addresses in your internal network, you'll need to establish one or more VPNs.

    We can't know the reason unless you make the IP addresses clearer.  Is dstip 172.21.y.17?

    Cheers - Bob
  • 0 in reply to tuscani
    Ok I will try that.. but I am still curious why the firewall drops the packet.. is it because it doesn't know where to route it?


    All traffic is dropped unless there is a matching firewall rule to allow it.

    Your firewall rule would work with a DNAT, but since you have multiple phones, a DNAT will not solve your problems.

    Barry