Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 1737 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Wierd Problem

TomStage
Hi All

I have a router that can send all its logs to a syslog server, so i have installed a syslog server on my internal network, thinking that I could have the router send all the logs to that server.

So here is what I have done:

01)  Network Protection → Firewall → Rules → SYSLOG from Internet Router to [Internal SYSLOG Server]
02)  Network Protection → NAT → NAT → SYSLOG from Internet Router to External (Address)

But the Firewall drops all the packages with the following entry in the firewall log:

2014:02:12-14:26:03 [MASKED] ulogd[4484]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth2" srcmac="b0:b2[:D]c:98:a:3" dstmac="0:c:29:98:3d:5b" srcip="[MASKED]" dstip="[MASKED]" proto="17" length="230" tos="0x00" prec="0x00" ttl="64" srcport="32768" dstport="514"

I have even put the firewall rule as the 1st rule, but it still drops the packets.

Can any one tell me what I am missing here?


This thread was automatically locked due to age.
  • 0
    Your NAT rule needs to be DNAT, not full NAT, and your firewall rule needs to be Router --> syslog service --> WAN address, ALLOW
  • 0
    And you DNAT the server, not the router.
  • 0
    If jetkins' advice didn't solve your issue, please edit your original post to show portions of the actual IPs, like 212.x.y.184 and 172.2?.z.253, so that we can understand what's public and what's private.  Also, attach screencaps of your firewall and NAT rules.

    Cheers - Bob
  • 0
    Hi Jetkins and Balfson

    Thanks for your reply.

    It is DNAT and it is from the routers external address which is 212.242.***.*** to the firewalls external address which is 10.***.***.003, and the syslog server is on 192.***.***.5, which is not in my dmz but on my private network, and  yes i know that is a bad practice.

    NAT setup:
         Rule Type: DNAT
    Matching Condition:
         From: Router external address
         Service my_Syslog port
         To: Firewall External address
    Action:
         Change to: Syslog server
         Service: Syslog Port

    And my firewall rule is set up like this:
    From: Router external address
    Service: my_Syslog port
    To: Syslog server

    Firewall Log entry:
    2014:02:14-01:21:03 [MASKED] ulogd[4484]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth2" srcmac="[MASKED]" dstmac="[MASKED]" srcip="212.242.***.***" dstip="10.***.***.3" proto="17" length="185" tos="0x00" prec="0x00" ttl="64" srcport="32814" dstport="[***]" 

    And the rule in the firewall is the 1st one active, and the DNAT Setup is the same as the other rules that I have, that is working for Web, mail and so on.

    I am thinking that it might hit an IPS / IDS rule.
  • 0
    Hi

    Hmm that is funny, now it is working thanks for your time and replying.

    [:D] [:)]