Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 1741 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Wierd Problem

TomStage
Hi All

I have a router that can send all its logs to a syslog server, so i have installed a syslog server on my internal network, thinking that I could have the router send all the logs to that server.

So here is what I have done:

01)  Network Protection → Firewall → Rules → SYSLOG from Internet Router to [Internal SYSLOG Server]
02)  Network Protection → NAT → NAT → SYSLOG from Internet Router to External (Address)

But the Firewall drops all the packages with the following entry in the firewall log:

2014:02:12-14:26:03 [MASKED] ulogd[4484]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth2" srcmac="b0:b2[:D]c:98:a:3" dstmac="0:c:29:98:3d:5b" srcip="[MASKED]" dstip="[MASKED]" proto="17" length="230" tos="0x00" prec="0x00" ttl="64" srcport="32768" dstport="514"

I have even put the firewall rule as the 1st rule, but it still drops the packets.

Can any one tell me what I am missing here?


This thread was automatically locked due to age.
Parents
  • 0
    Hi Jetkins and Balfson

    Thanks for your reply.

    It is DNAT and it is from the routers external address which is 212.242.***.*** to the firewalls external address which is 10.***.***.003, and the syslog server is on 192.***.***.5, which is not in my dmz but on my private network, and  yes i know that is a bad practice.

    NAT setup:
         Rule Type: DNAT
    Matching Condition:
         From: Router external address
         Service my_Syslog port
         To: Firewall External address
    Action:
         Change to: Syslog server
         Service: Syslog Port

    And my firewall rule is set up like this:
    From: Router external address
    Service: my_Syslog port
    To: Syslog server

    Firewall Log entry:
    2014:02:14-01:21:03 [MASKED] ulogd[4484]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth2" srcmac="[MASKED]" dstmac="[MASKED]" srcip="212.242.***.***" dstip="10.***.***.3" proto="17" length="185" tos="0x00" prec="0x00" ttl="64" srcport="32814" dstport="[***]" 

    And the rule in the firewall is the 1st one active, and the DNAT Setup is the same as the other rules that I have, that is working for Web, mail and so on.

    I am thinking that it might hit an IPS / IDS rule.
Reply
  • 0
    Hi Jetkins and Balfson

    Thanks for your reply.

    It is DNAT and it is from the routers external address which is 212.242.***.*** to the firewalls external address which is 10.***.***.003, and the syslog server is on 192.***.***.5, which is not in my dmz but on my private network, and  yes i know that is a bad practice.

    NAT setup:
         Rule Type: DNAT
    Matching Condition:
         From: Router external address
         Service my_Syslog port
         To: Firewall External address
    Action:
         Change to: Syslog server
         Service: Syslog Port

    And my firewall rule is set up like this:
    From: Router external address
    Service: my_Syslog port
    To: Syslog server

    Firewall Log entry:
    2014:02:14-01:21:03 [MASKED] ulogd[4484]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth2" srcmac="[MASKED]" dstmac="[MASKED]" srcip="212.242.***.***" dstip="10.***.***.3" proto="17" length="185" tos="0x00" prec="0x00" ttl="64" srcport="32814" dstport="[***]" 

    And the rule in the firewall is the 1st one active, and the DNAT Setup is the same as the other rules that I have, that is working for Web, mail and so on.

    I am thinking that it might hit an IPS / IDS rule.
Children
No Data