Win XP Remote desktop

Remote desktop uses the same port at terminal services.

TCP/UDP Port 3389

Enable that to pass to the machine you want to connect to and it should work fine.

Actually you don't need UDP 3389 for Terminal Service/Remote Desktop. TCP 3389 is enough... (Safer not to open any unused UDP ports... Look at at what SQL Slammer did    [;)]   )
 
 [size="1"][ 03 February 2003, 10:21: Message edited by: Sterion ][/size]

Actually you don't need UDP 3389 for Terminal Service/Remote Desktop. TCP 3389 is enough... (Safer not to open any unused UDP ports... Look at at what SQL Slammer did    [;)]   )
 
 [size="1"][ 03 February 2003, 10:21: Message edited by: Sterion ][/size]

Also note that the login password is sent in the clear even if the TS session is encrypted.  Better to use a VPN even if PPTP.  Otherwise, Term Services should work fine over NAT/Masq.

Users don't like an extra step but you takes your chances with MS apps.  This is going to be another bad year for MS worms and the like.  Maybe a good year for Astaro?

Well when I have a filter rule:

Any RDC Any Allow  

and RDC is defined as:

 Name   Protocol   S-Port/Client   D-Port/Server  
RDC         tcp        1024:65535           3389

I recieve a packet filter log like this:

21:34:34 12.103.200.35 39375  ->  24.189.248.20 3389 TCP SYN  
21:34:40 12.103.200.35 39375  ->  24.189.248.20 3389 TCP SYN  
21:35:06 12.103.200.35 39807  ->  24.189.248.20 3389 TCP SYN  
21:35:09 12.103.200.35 39807  ->  24.189.248.20 3389 TCP SYN  
21:35:15 12.103.200.35 39807  ->  24.189.248.20 3389 TCP SYN  


any Ideas?

Thanx
        Fred  

is any of the listed IPs a local IP on your ASL? If yes, redesign your filter... 

If you take a look at Filter livelog/Current filter rules you will notice that the filter is in the chain USR_FORWARD...

If then you doesn't have a DNAT for port 3389 then the firewall will use the chain USR_INPUT (where there isn't a rule it can match) and then you get the packet dropped...

So make a DNAT on your external interface port 3389 to the internal server you wish to run terminal services and you'll be fine [:)] 

Well I have tried many things and cannot get remote desktop to work so is there anyone that can walk me through this step by step? I am having a hard time with firewalling and maybe when I understand it a little better by setting up a few things by example I can get a better understanding.

Thanx,

Fred Watson 

Firewall Internet Side Adapter IP address = a.b.c.d (do not need to define this is you are using a dynamic IP address)
Internal windows XP IP address = e.f.g.h (make sure you are using a private address such as 10.0.x.x or 192.168.0.x)
Define both in Networks.

TERM_SERV_IN = 3389   (TCP)
Define in Services.

In Network/NAT Masquerading define this;
Rule Typd: DNAT/SNAT
Source Address: ANY
Destiniation Address: a.b.c.d (your internet side IP address or external interface if you do not have an dynamic address)
Service = TERM_SERV_IN
Source to = NO CHANGE
Address Destination to = e.f.g.h
Service Destination to = NO CHANGE

Packet Filter / Rules;

From Client: Any
To (server): e.f.g.h
Service: TERM_SERV_IN
Action: ALLOW

Then make sure you enable the service once saved.

That should help you!  [:S]

Cheers Mark

   

OK

Define the machine running remote admin in Definitions in ASL
ie RA-Box 192.168.1.55
Define terminal services service in Services. ie TermServ UDP 3389

Set up a DNAT rule under Networking.
Src: Any Destination: FirewallRedInterfaces Service: TermServ Destination=RA-Box

Set a packet filter rule to allow 3389 to the RA-Box and out.

Should work.
 

Oops TCP not UDP on port 3389. My bad. 

Simon,

Thank you so much, I entered everything like you suggested and it works just fine.

If I can only get FTP to work as good life would be fine.   

Isn't it possible to use remote resktop via SSH (tunneling?)
I did not test this my self but it should be possible to map a local port to the terminal service port on the server and use ssh to tunnel trough the firewall. Looks to me that this is much safer but maybe too slow????

Daniel