Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 13 replies
  • Subscribers 0 subscribers
  • Views 2881 views
  • Users 0 members are here
Options
Suggested

[7.490][BUG][NOTABUG] [question createing dnat firewall rule

utm_kid
Hi Friends !

can some one please check with dnat and firewall rule 

I am trying to create a dnat rule for ssh server while createing dnat i have added firewall rule option click still i have to add firewall rule to ssh work,after adding manuallly firewall rule ssh works fine ,this i notice with other dnat rule also

pls check log ,first entries are without manual firewall rule and later with firewall rule 

Thanks
  • 0 
    Astaro Beta Report
    --------------------------------
    Version: 7.490
    Type: BUG
    State: NOTABUG
    Reporter: utm_kid
    Contributor: 
    MantisID: 
    --------------------------------
  • 0
    Please show a picture of your DNAT and of the Packet Filter rule.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Please show a picture of your DNAT and of the Packet Filter rule.

    Cheers - Bob


    Sir,please check images
    do u want to check remotely just pm/mail me 

    Thanks
  • 0
    I'm a little confused.  It looks like you're accessing via VPN through the Astaro.  What does the Remote Access definition look like?
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    OK, offline, I learned that he's accessing via PPTP.  I believe this is a bug.  I also tried to access his ftp server via a DNAT.  I watched his packet filter log a default drop of the traffic to the server, yet his DNAT rule clearly has 'Auto packet filter' checked.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi guys,

    I setup my test ASG in the same way like your pictures but I'm not able to reproduce it with 7.5. Could you please try it with the newest version again?

    greetings
    andreas
  • 0
    Andreas, I logged into his Astaro and confirmed that there's a default drop without the PF allow rule for FTP: 
    18:24:13 Connection using NAT TCP [BAlfson-IP] : 2766 

     → [utm_kid-IP] : 21 

     [SYN] len=48 ttl=113 tos=0x00 srcmac=00:00:00:00:00:00 dstmac=00:60:08:9b:a5:79

    18:24:14 Default DROP TCP [BAlfson-IP] : 2766 

     → 192.168.2.250 : 21 

     [SYN] len=48 ttl=112 tos=0x00 srcmac=00:1c:c0:aa:21:8c dstmac=00:60:08:9b:a5:79

    The NAT rule is as in the pic above: 'Any -> FTP -> External (Address) : DNAT to [Internal IP]' and auto packet filter is checked.  If I turn on a PF rule 'Any -> FTP -> Any : Allow', the packet is not dropped. 
    18:25:31 Connection using NAT TCP [BAlfson-IP] : 2812 

     → [utm_kid-IP] : 21 

     [SYN] len=52 ttl=113 tos=0x00 srcmac=00:00:00:00:00:00 dstmac=00:60:08:9b:a5:79

    18:25:31 Packet filter rule #8 TCP [BAlfson-IP] : 2812 

     → 192.168.2.250 : 21 

     [SYN] len=52 ttl=112 tos=0x00 srcmac=00:1c:c0:aa:21:8c dstmac=00:60:08:9b:a5:79

    18:25:34 FTP data connection TCP [BAlfson-IP] : 2813 

     → 192.168.2.250 : 55419 

     [SYN] len=52 ttl=113 tos=0x00 srcmac=00:00:00:00:00:00 dstmac=00:60:08:9b:a5:79

    I don't understand how this can not be a bug, but it's so fundamental that I can't imagine that it would exist.  I even created another DNAT myself and saw the same behavior.

    Confused - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to utm_kid
    Hi,

     it seems its partly fix ftp,web server working now but ssh has still same issues

    /var/log/ips.log:2009:09:23-18:25:33 ace75 snort[4115]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="alert" reason="(ftp_telnet) FTP command parameters were malformed" group="0" srcip="72.x.x.2xx" dstip="192.168.2.250" proto="6" srcport="2812" dstport="21" sid="0" class="" priority="3" generator="125" msgid="1"  


    new rpm for ips -----u2d-ips-7-148            Thu Sep 24 15:33:15 2009

    Andreas can u please look at ssh also ,send u pm 

    Thanks
  • 0
    Hi,

    if I try the dnat it works and I got forwarded per ssh to your client. Does you get blocket in your case by IPS or what is going wrong?

    Greetings
    Andreas
Unfiltered HTML