Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 13 replies
  • Subscribers 0 subscribers
  • Views 2871 views
  • Users 0 members are here
Options
Suggested

[7.490][BUG][NOTABUG] [question createing dnat firewall rule

utm_kid
Hi Friends !

can some one please check with dnat and firewall rule 

I am trying to create a dnat rule for ssh server while createing dnat i have added firewall rule option click still i have to add firewall rule to ssh work,after adding manuallly firewall rule ssh works fine ,this i notice with other dnat rule also

pls check log ,first entries are without manual firewall rule and later with firewall rule 

Thanks
Parents
  • 0
    Andreas, I logged into his Astaro and confirmed that there's a default drop without the PF allow rule for FTP: 
    18:24:13 Connection using NAT TCP [BAlfson-IP] : 2766 

     → [utm_kid-IP] : 21 

     [SYN] len=48 ttl=113 tos=0x00 srcmac=00:00:00:00:00:00 dstmac=00:60:08:9b:a5:79

    18:24:14 Default DROP TCP [BAlfson-IP] : 2766 

     → 192.168.2.250 : 21 

     [SYN] len=48 ttl=112 tos=0x00 srcmac=00:1c:c0:aa:21:8c dstmac=00:60:08:9b:a5:79

    The NAT rule is as in the pic above: 'Any -> FTP -> External (Address) : DNAT to [Internal IP]' and auto packet filter is checked.  If I turn on a PF rule 'Any -> FTP -> Any : Allow', the packet is not dropped. 
    18:25:31 Connection using NAT TCP [BAlfson-IP] : 2812 

     → [utm_kid-IP] : 21 

     [SYN] len=52 ttl=113 tos=0x00 srcmac=00:00:00:00:00:00 dstmac=00:60:08:9b:a5:79

    18:25:31 Packet filter rule #8 TCP [BAlfson-IP] : 2812 

     → 192.168.2.250 : 21 

     [SYN] len=52 ttl=112 tos=0x00 srcmac=00:1c:c0:aa:21:8c dstmac=00:60:08:9b:a5:79

    18:25:34 FTP data connection TCP [BAlfson-IP] : 2813 

     → 192.168.2.250 : 55419 

     [SYN] len=52 ttl=113 tos=0x00 srcmac=00:00:00:00:00:00 dstmac=00:60:08:9b:a5:79

    I don't understand how this can not be a bug, but it's so fundamental that I can't imagine that it would exist.  I even created another DNAT myself and saw the same behavior.

    Confused - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to utm_kid
    Hi,

     it seems its partly fix ftp,web server working now but ssh has still same issues

    /var/log/ips.log:2009:09:23-18:25:33 ace75 snort[4115]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="(ftp_telnet) FTP command parameters were malformed" group="0" srcip="72.x.x.2xx" dstip="192.168.2.250" proto="6" srcport="2812" dstport="21" sid="0" class="" priority="3" generator="125" msgid="1"  


    new rpm for ips -----u2d-ips-7-148            Thu Sep 24 15:33:15 2009

    Andreas can u please look at ssh also ,send u pm 

    Thanks
Reply
  • 0 in reply to utm_kid
    Hi,

     it seems its partly fix ftp,web server working now but ssh has still same issues

    /var/log/ips.log:2009:09:23-18:25:33 ace75 snort[4115]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="(ftp_telnet) FTP command parameters were malformed" group="0" srcip="72.x.x.2xx" dstip="192.168.2.250" proto="6" srcport="2812" dstport="21" sid="0" class="" priority="3" generator="125" msgid="1"  


    new rpm for ips -----u2d-ips-7-148            Thu Sep 24 15:33:15 2009

    Andreas can u please look at ssh also ,send u pm 

    Thanks
Children
No Data
Unfiltered HTML