Update to 7.300 NAT issue

Its-not-a-bug-its-a-feature

ID08254 7.104 Using service 'Any' as traffic service breaks DNAT and SNAT rules
--------------------------------------------------------------------------------
Description:  Adding DNAT/SNAT rules with service 'Any' will not work.
              When updating to 7.300 these rules will get disabled
              automatically.
Workaround:   Please use one of the predefined service definitions or add
              a new one matching your target service.
Fix:          Fixed in 7.300

Bruce is right, this was disabled to prevent the problems he (and many others) experienced when use of the ANY service group caused conflicts in the NAT rules.  I would recommend defining the NAT rules as tightly as possible to prevent conflicts.

Isn't the DNAT for any service required if you need a DMZ? If the host is specified to be in a DMZ then it should accept ANY in its service.

Only the specific ports and protocols required for public access to the servers in the DMZ should be allowed through.  Passing all traffic to the DMZ simply bypasses the firewall, exposing every open service to attack.

The consumer router market has caused a lot of confusion by misappropriating the term DMZ.

Yes had this issue 2 updated only 6 of our 25 boxes but it take out all the DNAT rules and were having to manually put them in again on every box. Tested newer boxes that were loaded with 7.2 before config and they are fine wierd

@Jack Daniel:

So using ANY for the service field in the DNAT/SNAT results in allowing traffic to bypass my firewall??? Although i set up packet filter rules to close not needed ports? 

An nmap scan of an ip (server) in the DMZ (SNAT/DNAT rule used) says all is fine. Could i trust the results?

Regards,

Joerg

I just removed the ANY service by clicking the garbage can in the service selector and that solved the problem for me.

It would be interesting if BOTH - DNAT/SNAT rules - will be disabled. Or if the issue only applies to DNAT. That would be no problem for me...

It would be interesting if BOTH - DNAT/SNAT rules - will be disabled. Or if the issue only applies to DNAT. That would be no problem for me...

I posted this exact scenario in another thread and not to intentionally duplicte a thread, but I have dnat rules set up on each of my external IP's to be used as the "last rule" for each to take any source IP, and any source service to my external IP and forward it to a non-existant IP, and any destination service as a method of making all of my unused ports/IP's "stealthy" or in other words send the traffic to a blackhole. 

Essentially, I defined all of the services I wanted to put through first and then followed that with the blackhole rule. I did this as otherwise, when someone does a port scan on your network, they will get a response back saying port closed thus identifying your network is there. This then results in additional scanning by these rogue bots causing increased unwanted traffic. 

I am going to try to create a service group containing any and see how that goes. 

I suspect that someone could easily select any to a valid internal IP thus opening it up completely so this is a method for astaro to prevent someone from themselves... we all make mistakes I guess but if you are programming a firewall you should know what you are doing and not make this mistake!?!?