Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 13 replies
  • Subscribers 0 subscribers
  • Views 2871 views
  • Users 0 members are here
Options
Suggested

[7.490][BUG][NOTABUG] [question createing dnat firewall rule

utm_kid
Hi Friends !

can some one please check with dnat and firewall rule 

I am trying to create a dnat rule for ssh server while createing dnat i have added firewall rule option click still i have to add firewall rule to ssh work,after adding manuallly firewall rule ssh works fine ,this i notice with other dnat rule also

pls check log ,first entries are without manual firewall rule and later with firewall rule 

Thanks
Parents
  • 0
    Andreas, I logged into his Astaro and confirmed that there's a default drop without the PF allow rule for FTP: 
    18:24:13 Connection using NAT TCP [BAlfson-IP] : 2766 

     → [utm_kid-IP] : 21 

     [SYN] len=48 ttl=113 tos=0x00 srcmac=00:00:00:00:00:00 dstmac=00:60:08:9b:a5:79

    18:24:14 Default DROP TCP [BAlfson-IP] : 2766 

     → 192.168.2.250 : 21 

     [SYN] len=48 ttl=112 tos=0x00 srcmac=00:1c:c0:aa:21:8c dstmac=00:60:08:9b:a5:79

    The NAT rule is as in the pic above: 'Any -> FTP -> External (Address) : DNAT to [Internal IP]' and auto packet filter is checked.  If I turn on a PF rule 'Any -> FTP -> Any : Allow', the packet is not dropped. 
    18:25:31 Connection using NAT TCP [BAlfson-IP] : 2812 

     → [utm_kid-IP] : 21 

     [SYN] len=52 ttl=113 tos=0x00 srcmac=00:00:00:00:00:00 dstmac=00:60:08:9b:a5:79

    18:25:31 Packet filter rule #8 TCP [BAlfson-IP] : 2812 

     → 192.168.2.250 : 21 

     [SYN] len=52 ttl=112 tos=0x00 srcmac=00:1c:c0:aa:21:8c dstmac=00:60:08:9b:a5:79

    18:25:34 FTP data connection TCP [BAlfson-IP] : 2813 

     → 192.168.2.250 : 55419 

     [SYN] len=52 ttl=113 tos=0x00 srcmac=00:00:00:00:00:00 dstmac=00:60:08:9b:a5:79

    I don't understand how this can not be a bug, but it's so fundamental that I can't imagine that it would exist.  I even created another DNAT myself and saw the same behavior.

    Confused - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    Andreas, I logged into his Astaro and confirmed that there's a default drop without the PF allow rule for FTP: 
    18:24:13 Connection using NAT TCP [BAlfson-IP] : 2766 

     → [utm_kid-IP] : 21 

     [SYN] len=48 ttl=113 tos=0x00 srcmac=00:00:00:00:00:00 dstmac=00:60:08:9b:a5:79

    18:24:14 Default DROP TCP [BAlfson-IP] : 2766 

     → 192.168.2.250 : 21 

     [SYN] len=48 ttl=112 tos=0x00 srcmac=00:1c:c0:aa:21:8c dstmac=00:60:08:9b:a5:79

    The NAT rule is as in the pic above: 'Any -> FTP -> External (Address) : DNAT to [Internal IP]' and auto packet filter is checked.  If I turn on a PF rule 'Any -> FTP -> Any : Allow', the packet is not dropped. 
    18:25:31 Connection using NAT TCP [BAlfson-IP] : 2812 

     → [utm_kid-IP] : 21 

     [SYN] len=52 ttl=113 tos=0x00 srcmac=00:00:00:00:00:00 dstmac=00:60:08:9b:a5:79

    18:25:31 Packet filter rule #8 TCP [BAlfson-IP] : 2812 

     → 192.168.2.250 : 21 

     [SYN] len=52 ttl=112 tos=0x00 srcmac=00:1c:c0:aa:21:8c dstmac=00:60:08:9b:a5:79

    18:25:34 FTP data connection TCP [BAlfson-IP] : 2813 

     → 192.168.2.250 : 55419 

     [SYN] len=52 ttl=113 tos=0x00 srcmac=00:00:00:00:00:00 dstmac=00:60:08:9b:a5:79

    I don't understand how this can not be a bug, but it's so fundamental that I can't imagine that it would exist.  I even created another DNAT myself and saw the same behavior.

    Confused - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
Unfiltered HTML