Thread Info
  • State Not Answered
  • Replies 10 replies
  • Subscribers 0 subscribers
  • Views 999 views
  • Users 0 members are here
Options
Suggested

[8.161][QUESTION][ANSWERED] Application-Based Port Forwarding possible?

guawhitehawk
Hi there,

quite testing the Beta and have now a question: Is the latest ASG8.2 capable of Application-based Port-Forwards?

For example: a guy needs a port forwarding for hosting Warcraft 3 Games. So theres a list of Applications/Games with their pre-defined default ports and if its TCP and/or UDP.

So i can easily set-up a port forwarding using such a list.

Or even better/more intelligent. A dynamic Forwarding is created while a request on that port is coming in or wants to go out.

Thanks,

Martin
  • 0 
    Astaro Beta Report

    --------------------------------

    Version: 8.161

    Type: QUESTION

    State: ANSWERED

    Reporter: guawhitehawk

    Contributor: Billybob, BarryG

    MantisID: 

    Target version: 

    Fixed in version: 

    --------------------------------
  • 0
    Hi, you'd need to define the ports under Service Definitions, and then create a DNAT for them.

    Barry
  • 0
    Hi Martin,

    we don't have a predefined list of "Gaming Related" port numbers, but if you have such a list, we might consider adding that list to the product.

    Cheers,
    Kai
  • 0 in reply to kbr
    Hi Martin,

    we don't have a predefined list of "Gaming Related" port numbers, but if you have such a list, we might consider adding that list to the product.

    Cheers,
    Kai

    I know this probably is a feature request but is it possible to get a popup of what ports an application control is opening. Kind of the way definitions behave right now where a mouse over pops up information about the relevant ports/IPs. It might be too many ports for complicated applications that need multiple ports but others like http for example won't be too much.

    Also is application control applied to the daemons running on astaro itself. For example if I use http control, would it affect http proxy on astaro also?

    Thanks
    Bill.
  • 0 in reply to Billybob
    ... feature request but is it possible to get a popup of what ports an application control is opening...


    If you are thinking of the the Websecurity>>Application control tab, where you can configure the rules... well, that looks like a really good idea to me. Would it be okay to show the text 'many' for Skype and FTP-data?

    ... is application control applied to the daemons running on astaro itself ... ?


    Yes, and that is not exactly the way we want it to be in the long run. See #17017 on the KIL.

    Cheers,
    Kai
  • 0
    Hi Kai,

    in addition to the original poster (and what Martin might wanted to have said in the first place - please correct me if I'm wrong):
    What would be helpful (though hard to achieve probably) is to forward only application specific traffic to an internal host without the knowledge for ports or other stuff. So instead of picking the ports forwarded from a predefined list of TCP/UDP ports, it would be nice if you could forward say "OpenVPN" traffic to an internal server and other HTTPS traffic to another server. (In case the Engine could tell the difference between OpenVPN and standard HTTPS traffic).

    However I doubt that the application classification can take place BEFORE the engine has seen the full TCP connection back and forth. Hence this probably won't work, would it?

    Christian
  • 0 in reply to christianlouis
    If you are thinking of the the Websecurity>>Application control tab, where you can configure the rules... well, that looks like a really good idea to me. Would it be okay to show the text 'many' for Skype and FTP-data?
     That's exactly what I had in mind. I am sure you guys will come up with an elegant solution for applications using multiple ports. But multiple TCP or multiple UDP or multiple TCP/UDP would work for me [;)]
    So instead of picking the ports forwarded from a predefined list of TCP/UDP ports, it would be nice if you could forward say "OpenVPN" traffic to an internal server ....

    That would be awesome and would make the firewall almost dangerously easy for beginners.

    Regards
    Bill.
  • 0
    @Bill: I have added your idea as a feature-request to Mantis (ID 17332).
  • 0 in reply to christianlouis
    ... can take place BEFORE the engine has seen the full TCP connection back and forth. Hence this probably won't work, would it?


    I have no deeper insight into the classification algorithms, but from discussions with florian i know that this is exactly the problem. To classify a connection, we need to see some packets float around first. But we can take a best guess approach based on port numbers. That's why i suggested the List of services [;)]
  • 0
    @kbr: Sounds reasonable. So the goal should be to have TCP / UDP packet definitions for each of the protocols in the Application Classification list. Oh boy, sounds like a lot of work.
Cookie Information Banner