Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 2509 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Help with firewall and web protection rules

beat.1078
Hello,

I have been searching around for a couple days and I have not found anything that seems to answer my issue.

I have tried several suggestions to some problems and tried to see if some of this fits but I have not had any luck.

Here is my background:
I am using v8.313
The software communicates on port 80, and then a high port 654xx

Here is my issue:
A software package, upon startup, tries to connect to an external server to see if there are updates available and to provide other types of help or tips of the day.

I have verified that this functions as the vendor intended by using a hot spot.  I have tried to add firewall rules with the destination and source port and the IP addresses in question and have had no luck.

I am met with firewall rule 60003.  Here you can see the traffic log.  I have turned all of my services off and that did not help either.  Since I know that I am blocking the access I want to know what I am doing wrong to allow that access.

2014:09:21-12:34:12 GreenLantern ulogd[5757]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60003" outitf="eth1" srcmac="0:25:90:c:b5:a5" srcip="46.252.193.81" dstip="192.168.1.10" proto="6" length="40" tos="0x00" prec="0x00" ttl="64" srcport="80" dstport="65422" tcpflags="RST" 

Thank you.

--Beat


This thread was automatically locked due to age.
  • 0
    Hi, Beat, and welcome to the User BB!

    fwrule="60003" means that the packet was dropped by default out of the FORWARD chain.  This indicates that you might have an overly-aggressive DNAT that uses the "Any" Service instead of something more limited - or maybe that you don't need the DNAT at all.

    srcport="80" dstport="65422" tcpflags="RST" probably means that the server at 46.252.193.81 didn't understand that a particular connection was terminated.  Normally, these drops in the Firewall log can be ignored.

    All you should need for this new package to work is a Masquerading rule and a Firewall rule like '{192.168.1.10} -> Web Surfing -> {46.252.193.81} : Allow'.  If you would like help deciding whether you need to delete some related items, click on [Go Advanced] below to be able to attach pictures of them to your post.

    Cheers - Bob
  • 0
    Hello Bob,

    Thank you for your response.  I added the rule to the firewall but I still had the same result. 

    2014:09:21-19:21:00 GreenLantern ulogd[5757]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60003" outitf="eth1" srcmac="0:25:90:c:b5:a5" srcip="46.252.193.81" dstip="192.168.1.10" proto="6" length="40" tos="0x00" prec="0x00" ttl="64" srcport="80" dstport="49173" tcpflags="RST" 

    I am not using any DNAT rules so I put a masquerading rule in place and still no dice.

    I would be happy to post some more information if you can tell me what you want me to share.

    Thank you for your help with this mystery.

    --Beat
  • 0
    Normally, there's no way for a packet with srcip="46.252.193.81" dstip="192.168.1.10" to get to you.  192.168.1.10 cannot be routed over the public internet.  That's why I thought you had a NAT rule.

    Is 192.168.1.10 the IP on the UTM's External interface, or the IP of the computer running the software package?

    Cheers - Bob