Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 5 replies
  • Subscribers 0 subscribers
  • Views 1146 views
  • Users 0 members are here
Options
Suggested

NAT / Masquerading Bug?

McPool
Hi there,
On testing your new Beta Version 3.041
we discovered, that when translating a NAT rule with "any" service, then no ports are available. If we specify e.g. "HTTP" service, we can reach the host on the HTTP port.

  [:O]   
We think it's a bug , as with the service set to "any" it should let pass traffic to all ports.

Overall we congratulate you for this new version, especially the ip-traffic features are gorcious!

kind regards

Connection from the Internet to a Webserver in the DMZ.

DNAT Torino-in 
-----------------
Any -> torino-masq / HTTP   None   torino

torino-masq = external adress
torino = internal adress (192.168.2.64)
HTTP = Service 
with HTTP it works !!
with ANY not !!

[ 15 April 2002: Message edited by: McPool ]

Parents
  • 0
    hey,
    thank you for that hint,
    i was still wondering why i can't get it to work ...
    from internal to outside it works fine, but i had the same problem to get inside with pop3, http, ftp ....

    does it mean, i have to set up a NAT rule for each service separately?

    maybe it works with a definition of a service-group. i'll try this soon.

    kind regards, Christian
  • 0 in reply to Chris_W
    Hi Chris,

    >does it mean, i have to set up a NAT rule for each service separately?

    Yes it does, and it's a lot of typing  [:(] 

    >maybe it works with a definition of a service group.

    that's a good hint, thanks
    regards
  • 0 in reply to McPool
    just didn't see the service groups in the field there ... :-(
    so it looks like
    - set up snat-rules for outgoing services any/any works fine.
    - set up dnat-rules for incoming services for each service and each machine separately
      this way you can send different services to different local machines, but i thought any meens any ....
    - set up a packet filter rule to allow the packets to pass - here we can use network-groups at least... (for all 6 directions )

    then it really should work ...

    have a nice weekend, Christian
Reply
  • 0 in reply to McPool
    just didn't see the service groups in the field there ... :-(
    so it looks like
    - set up snat-rules for outgoing services any/any works fine.
    - set up dnat-rules for incoming services for each service and each machine separately
      this way you can send different services to different local machines, but i thought any meens any ....
    - set up a packet filter rule to allow the packets to pass - here we can use network-groups at least... (for all 6 directions )

    then it really should work ...

    have a nice weekend, Christian
Children
Unfiltered HTML