Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 1945 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IP Port Forwarding difficulty

enigmadesign
I have a small network behind the Astaro 4 firewall which is configured (and working) as a NAT masq. router.  I am trying to setup port forwarding to allow access to specific services like SMTP, FTP HTTP, etc...  I have listed my rules and NAT settings below for the FTP service (Secure_FTP) on an odd port.  As it is set, it does not appear to be working as the client gets an error and the server log has no entries.

Packet Filter Rules:
Any -> Secure_FTP -> External_Interface__ -> Allow 

NAT Rule: Type DNAT/SNAT
 Any -> External_Interface__ / Secure_FTP   None   

I thank you in advance for your help,
Chris Schiano 


This thread was automatically locked due to age.
  • 0
    You need to also allow connections to the internal IP as well.
    Any->Secure_FTP->->Allow
      
  • 0 in reply to pablito
    Thanks...I think I'm getting closer.  I think the problem now is in the SNAT/DSNAT rule.  Another person gave me the lead on the current SNAT rule...but I think I may have misinterpereted his direction.   [:S]
    Do you see an error in the rule?, or do you have an alternate suggestion?

    Thanks again---really!
    Chris Schiano   
  • 0 in reply to enigmadesign
    FTP can be tricky.  We don't know what you are using for Secure_FTP so you might first check what they say about firewalls.  Some also need another port or range for control or data.  Have you considered SCP which uses SSH rules and works fine?

    But you definetly need Allow rules towards the inside server that match what you have for the external interface (taking into account any port changes you might be doing).

    First thing is to verify that the other DNATS work like HTTP and others you have.  They should work with simple rules. 

    Just don't set an Any->Any->Allow rule in desperation.   An Inside_Network->Any->Allow rule isn't as bad and fine to get things working.
       
  • 0
    Code:


    Hi,

    Let me see if I understand you, and if I can describe a simple way to acheive what you need.

    First of all you do not need to follow the same port on the outside for the Intranet/DMZ ftp host.

    i.e. Just because you want to accept connections from the Internet on "Secure_FTP" you don't need
    to have your Intranet FTP host waiting for connections to the same port.

    I have just this minute configured my ASL for "Secure_FTP" so I can copy/paste a working example...


    First off make sure you have something similar to the details below,


    	Definitions / Networks

    		Internet-hosts 	194.168.0.0  	255.255.255.0
    	

    	Definitions / Services

    		FTP-CONTROL  	tcp  	1024:65535  	21
    		Secure_FTP-port	tcp  	1024:65535  	247


    	Network / NAT/Masquerading

    		Secure_FTP Internet-hosts -> eth2_Interface__ / Secure_FTP-port None Intranet-FTP / FTP-CONTROL


    	Packet Filter / Rules

    		Internet-hosts  FTP-CONTROL  Intranet-FTP  Allow


    	Now the "Network / NAT/Masquerading" above simply says,

    		 Label: Secure_FTP
    		src IP: Internet-hosts
    		dst IP: External Inerface IP
    		   dpt: Secure_FTP-port

    		NAT to:

    		src IP: No change
    		dst IP: Intranet-FTP (your Intranet FTP host)
    		   dpt: FTP-CONTROL (standard ftp port 21)


    and the "Packet Filter / Rules" above simply allows the connection through to the Intranet FTP host,

    		src IP: Internet-hosts
    		   dpt: FTP-CONTROL (standard ftp port 21)
    		dst IP: Intranet-FTP (your Intranet FTP host)
    		action: Allow


    Thats all you need to do, to allow a host from the Internet to access an Intranet FTP server
    on a non-standard port, without having to change anything on the Intranet host.

    Hope you can extrapolate from this example a solution. My first guess is that you have not
    changed the Intranet FTP server to expect connections on the port defined in "Secure_FTP-port" ?

    I say this as in your "Network / NAT/Masquerading" eaxmple you do not modify the destination
    port for the NAT, so the connection is passed to your Intranet FTP host on port "Secure_FTP-port"
    which you may not have accounted for. But as you can see, you need not make such a change anyway.

    Good Luck!


    Cheers,
    kr8