Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 1945 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IP Port Forwarding difficulty

enigmadesign
I have a small network behind the Astaro 4 firewall which is configured (and working) as a NAT masq. router.  I am trying to setup port forwarding to allow access to specific services like SMTP, FTP HTTP, etc...  I have listed my rules and NAT settings below for the FTP service (Secure_FTP) on an odd port.  As it is set, it does not appear to be working as the client gets an error and the server log has no entries.

Packet Filter Rules:
Any -> Secure_FTP -> External_Interface__ -> Allow 

NAT Rule: Type DNAT/SNAT
 Any -> External_Interface__ / Secure_FTP   None   

I thank you in advance for your help,
Chris Schiano 


This thread was automatically locked due to age.
Parents
  • 0
    Code:


    Hi,

    Let me see if I understand you, and if I can describe a simple way to acheive what you need.

    First of all you do not need to follow the same port on the outside for the Intranet/DMZ ftp host.

    i.e. Just because you want to accept connections from the Internet on "Secure_FTP" you don't need
    to have your Intranet FTP host waiting for connections to the same port.

    I have just this minute configured my ASL for "Secure_FTP" so I can copy/paste a working example...


    First off make sure you have something similar to the details below,


    	Definitions / Networks

    		Internet-hosts 	194.168.0.0  	255.255.255.0
    	

    	Definitions / Services

    		FTP-CONTROL  	tcp  	1024:65535  	21
    		Secure_FTP-port	tcp  	1024:65535  	247


    	Network / NAT/Masquerading

    		Secure_FTP Internet-hosts -> eth2_Interface__ / Secure_FTP-port None Intranet-FTP / FTP-CONTROL


    	Packet Filter / Rules

    		Internet-hosts  FTP-CONTROL  Intranet-FTP  Allow


    	Now the "Network / NAT/Masquerading" above simply says,

    		 Label: Secure_FTP
    		src IP: Internet-hosts
    		dst IP: External Inerface IP
    		   dpt: Secure_FTP-port

    		NAT to:

    		src IP: No change
    		dst IP: Intranet-FTP (your Intranet FTP host)
    		   dpt: FTP-CONTROL (standard ftp port 21)


    and the "Packet Filter / Rules" above simply allows the connection through to the Intranet FTP host,

    		src IP: Internet-hosts
    		   dpt: FTP-CONTROL (standard ftp port 21)
    		dst IP: Intranet-FTP (your Intranet FTP host)
    		action: Allow


    Thats all you need to do, to allow a host from the Internet to access an Intranet FTP server
    on a non-standard port, without having to change anything on the Intranet host.

    Hope you can extrapolate from this example a solution. My first guess is that you have not
    changed the Intranet FTP server to expect connections on the port defined in "Secure_FTP-port" ?

    I say this as in your "Network / NAT/Masquerading" eaxmple you do not modify the destination
    port for the NAT, so the connection is passed to your Intranet FTP host on port "Secure_FTP-port"
    which you may not have accounted for. But as you can see, you need not make such a change anyway.

    Good Luck!


    Cheers,
    kr8
      
Reply
  • 0
    Code:


    Hi,

    Let me see if I understand you, and if I can describe a simple way to acheive what you need.

    First of all you do not need to follow the same port on the outside for the Intranet/DMZ ftp host.

    i.e. Just because you want to accept connections from the Internet on "Secure_FTP" you don't need
    to have your Intranet FTP host waiting for connections to the same port.

    I have just this minute configured my ASL for "Secure_FTP" so I can copy/paste a working example...


    First off make sure you have something similar to the details below,


    	Definitions / Networks

    		Internet-hosts 	194.168.0.0  	255.255.255.0
    	

    	Definitions / Services

    		FTP-CONTROL  	tcp  	1024:65535  	21
    		Secure_FTP-port	tcp  	1024:65535  	247


    	Network / NAT/Masquerading

    		Secure_FTP Internet-hosts -> eth2_Interface__ / Secure_FTP-port None Intranet-FTP / FTP-CONTROL


    	Packet Filter / Rules

    		Internet-hosts  FTP-CONTROL  Intranet-FTP  Allow


    	Now the "Network / NAT/Masquerading" above simply says,

    		 Label: Secure_FTP
    		src IP: Internet-hosts
    		dst IP: External Inerface IP
    		   dpt: Secure_FTP-port

    		NAT to:

    		src IP: No change
    		dst IP: Intranet-FTP (your Intranet FTP host)
    		   dpt: FTP-CONTROL (standard ftp port 21)


    and the "Packet Filter / Rules" above simply allows the connection through to the Intranet FTP host,

    		src IP: Internet-hosts
    		   dpt: FTP-CONTROL (standard ftp port 21)
    		dst IP: Intranet-FTP (your Intranet FTP host)
    		action: Allow


    Thats all you need to do, to allow a host from the Internet to access an Intranet FTP server
    on a non-standard port, without having to change anything on the Intranet host.

    Hope you can extrapolate from this example a solution. My first guess is that you have not
    changed the Intranet FTP server to expect connections on the port defined in "Secure_FTP-port" ?

    I say this as in your "Network / NAT/Masquerading" eaxmple you do not modify the destination
    port for the NAT, so the connection is passed to your Intranet FTP host on port "Secure_FTP-port"
    which you may not have accounted for. But as you can see, you need not make such a change anyway.

    Good Luck!


    Cheers,
    kr8
      
Children
No Data