Update to 7.300 NAT issue

Its-not-a-bug-its-a-feature

ID08254 7.104 Using service 'Any' as traffic service breaks DNAT and SNAT rules
--------------------------------------------------------------------------------
Description:  Adding DNAT/SNAT rules with service 'Any' will not work.
              When updating to 7.300 these rules will get disabled
              automatically.
Workaround:   Please use one of the predefined service definitions or add
              a new one matching your target service.
Fix:          Fixed in 7.300

Bruce is right, this was disabled to prevent the problems he (and many others) experienced when use of the ANY service group caused conflicts in the NAT rules.  I would recommend defining the NAT rules as tightly as possible to prevent conflicts.

Isn't the DNAT for any service required if you need a DMZ? If the host is specified to be in a DMZ then it should accept ANY in its service.

Only the specific ports and protocols required for public access to the servers in the DMZ should be allowed through.  Passing all traffic to the DMZ simply bypasses the firewall, exposing every open service to attack.

The consumer router market has caused a lot of confusion by misappropriating the term DMZ.

Yes had this issue 2 updated only 6 of our 25 boxes but it take out all the DNAT rules and were having to manually put them in again on every box. Tested newer boxes that were loaded with 7.2 before config and they are fine wierd

Yes had this issue 2 updated only 6 of our 25 boxes but it take out all the DNAT rules and were having to manually put them in again on every box. Tested newer boxes that were loaded with 7.2 before config and they are fine wierd

@Jack Daniel:

So using ANY for the service field in the DNAT/SNAT results in allowing traffic to bypass my firewall??? Although i set up packet filter rules to close not needed ports? 

An nmap scan of an ip (server) in the DMZ (SNAT/DNAT rule used) says all is fine. Could i trust the results?

Regards,

Joerg

I just removed the ANY service by clicking the garbage can in the service selector and that solved the problem for me.

It would be interesting if BOTH - DNAT/SNAT rules - will be disabled. Or if the issue only applies to DNAT. That would be no problem for me...

No, if the packet filter rules block the traffic, it is blocked- but with the handly little "auto packet filter rule" checkbox, there is the potential for a mistake in a NAT rule using the "any" service is high.

The most common issue that I have seen with "any" is that it frequently creates conflicts and overlapping rules resulting in "unexpected" behavior.

I would never use this "handy" little feature. I don't trust automatisms.

But would you be so kind to answer my question, what will happen to my SNAT rules if i use ANY in the service field?

Regards,

Joerg

I posted this exact scenario in another thread and not to intentionally duplicte a thread, but I have dnat rules set up on each of my external IP's to be used as the "last rule" for each to take any source IP, and any source service to my external IP and forward it to a non-existant IP, and any destination service as a method of making all of my unused ports/IP's "stealthy" or in other words send the traffic to a blackhole. 

Essentially, I defined all of the services I wanted to put through first and then followed that with the blackhole rule. I did this as otherwise, when someone does a port scan on your network, they will get a response back saying port closed thus identifying your network is there. This then results in additional scanning by these rogue bots causing increased unwanted traffic. 

I am going to try to create a service group containing any and see how that goes. 

I suspect that someone could easily select any to a valid internal IP thus opening it up completely so this is a method for astaro to prevent someone from themselves... we all make mistakes I guess but if you are programming a firewall you should know what you are doing and not make this mistake!?!?

I would never use this "handy" little feature. I don't trust automatisms.

But would you be so kind to answer my question, what will happen to my SNAT rules if i use ANY in the service field?

Regards,

Joerg

It simply means that all services are allowed to pass outbound from the internal IP to the external translated IP unless explicitly blocked by a packet filter rule.

Using Any in the source of a SNAT rule this is basically inverting the standard logic of "everything is blocked outbound unless explicitly allowed out by a packet filter rule. The same would hold true for DNAT rules - using Any would allow all service ports in unless explicity blocked by a packet filter rule, which of course is even a more dangerous scenario.

It simply means that all services are allowed to pass outbound from the internal IP to the external translated IP unless explicitly blocked by a packet filter rule.

Thx for your explanation. But i only wanted to know if all SNAT Rules with ANY would be disabled. Nothing more.

But would you be so kind to answer my question, what will happen to my SNAT rules if i use ANY in the service field?

I hate to give a vague answer, but it really depends on the remainder of your configuration.  In my personal experience, the simpler the ruleset, the less likely you are to have issues with an "any" rule.

Thx for your explanation. But i only wanted to know if all SNAT Rules with ANY would be disabled. Nothing more.

Sorry, I misinterpreted your question.