Draytek firewall blokkeert port 80 ten onrechte

Let op: probleem is opgelost: Vorkbaard in "Draytek firewall blokkeert port 80 ten o..."

---

Een raar probleem met een Draytek Vigor 2900. Na een upgrade van de firewall naar firmware 2.5.6 waren er ineens nieuwe opties in het IP-filter in het ding en ook voor het gemak al mijn firewall-regels gewist Dus die zit ik nu opnieuw te maken. Downgraden en een backup terugzetten is mogelijk maar ik doe het liever meteen goed, anders moet het later alsnog doen.

Er zijn een aantal webservers achter deze router en ik wil alleen poorten 80 en 443 doorlaten. Op een webserver die een site op poort 80 heeft draaien, werken deze regels:

1. allow in TCP port 80 immediately
2. allow in TCP port 443 immediately
3. block in all protocols immediately

Dit gaat prima. De site is bereikbaar en het SSL-gedeelte ook.

Nu is er nog een server met een http- en een https-gedeelte. Dit werkte in de vorige firmwares overigens prima! Zelfde regels gemaakt: allow port 80, allow port 443, allow 25 (het is ook de mail relay server), block all.

Het vreemde is nu dat als ik de site benader op poort 80, de firewall me blockt op basis van de block-all-regel.

De instellingen in de firewall voor beide servers zijn identiek, behalve dan voor het IP-adres.

Ik heb met Ethereal gekeken wat voor verkeer er over de lijn gaat, en dat is toch echt alleen maar "port 80 TCP (web)". En dat is precies wat de firewall door moet laten!

Saillant detail: de regel die SMTP-verkeer naar binnen doorlaat (poort 25 dus) die werkt perfect en SSL (poort 443) ook!

Uiteraard ook al de firewall soft en hard gereset, maar zonder resultaat. Volgens de handleiding (en mijn eigen ervaring!) zou de regel om poort 80 door te laten gewoon moeten werken... (Maar ja, wat koop ik daarvoor? )

Hoe kan het dat het bij de ene server wel werkt en bij de andere niet?

Ik heb gezocht met Google en op de fora van de diverse Draytek-sites maar daar vind ik hier niets over terug.

Een paar screenshots:


Ethereal ziet dat het poort 80 TCP (web) is.

Werkende regel die poort 80 naar een webserver doorlaat

Regel die al het andere verkeer naar eerdergenoemde webserver blokkeert

Niet-werkende regel die poort 80 naar de webserver door zou moeten laten

Werkende regel die poort 25 naar de webserver (aka mail relay server) doorlaat

Regel die al het andere verkeer naar de webserver blokkeert

Realtime firewall-log die laat zien dat 443 en 25 wél worden doorgelaten maar 80 niet (p=passed en b=blocked, met daarvoor bv. 3:1 = set 3, regel 1).

[ Voor 1% gewijzigd door CmdrKeen op 14-09-2006 10:15 . Reden: Tikfout ]

Nee, die heb ik een andere poort dan 80 gezet. Doe ik met de andere routers ook

---

Nou, we zijn eruit. Voor degenen die dit probleem ook hebben, zet ik hier de oplossing neer.

Ik heb alle instellingen uit de router opgeschreven en dezelfde firmware maar dan de .RST-versie erop gezet. De .RST-versie kan je niet van de Nederlandse Draytek-site krijgen maar wél van ftp://ftp.draytek.com (werkt niet altijd, als je er niet in kan dan gewoon een uur later weer proberen).

De .RST-firmware zet alle instellingen terug naar default en wist alle custom-instellingen.

Ik heb het vermoeden dat na een stuk of vier firmware-upgrades gedurende de tijd dat de router hier staat, er flink wat info in het geheugen staat en dat dat een goeie werking van de firewall-regels in de weg stond.

Na de "upgrade" heb ik alle instellingen weer teruggezet en nu werkt het allemaal zoals het zou moeten.

[ Voor 83% gewijzigd door CmdrKeen op 14-09-2006 10:14 ]