Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 2102 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Problem with nat/pf, port still not open

Teren
Hi, I set up a typical NAT for terminal services to a server behind on the internal NIC. As most of you know, terminal is port 3389. So in the nat i put the following:

 Any -> External_Interface__ / Terminal   None   My2Kserver / Terminal 

then in the packet filtering i put the following:

Any     Terminal      My2Kserver     Allow 

However, this still isn't working, and, I nmapped the firewall from a server on another network and 3389 did not come up as a open port. Any ideas? Thanks 

BTW, i watched the live log...this is what came up:

14:23:46 TCP Drop REMOTE_IP 4172  ->  2KSERVER_IP 3389 TCP SYN  


This thread was automatically locked due to age.
Parents
  • 0
    I'm an idiot.  I'm having trouble following this:

    [ QUOTE ]
     Any -> External_Interface__ / Terminal   None   My2Kserver / Terminal  

    [/ QUOTE ]

    your NAT rule should look like this:

    Source addres: any
    destination address: external_interface__
    service: terminal
    change source to: none
    change destination to: my2kserver


    I don't know if the above "my2kserver / terminal" is what you defined as your terminal server ip.

    [ QUOTE ]
    14:23:46 TCP Drop REMOTE_IP 4172 -> 2KSERVER_IP 3389 TCP SYN 

    [/ QUOTE ]

    this looks like the packet filter rule isn't working.

    This rule should look like:

    from(client): any
    to(server): my2kserver
    service: terminal
    action: allow

    These rules involve you setting up these definitions:

    defintions > network
    name: win2kserver 
    ip: 
    subnet: 255.255.255.255

    defintions > services
    name: terminal
    protocol: tcp
    s-port/client: 1024:65535
    d-port/server:3389


    That should work.  let us know if it doesn't.   
  • 0 in reply to uncue75
    Ya, that's exactly how it's setup. It's weird becuase i have a DNS server on the DMZ network, and i copied all of the configurations i setup for that (switched the server and the service of course) and it's still not going.... Just to solve any confusion, i have this

    ASL Box with 3 nics,
    External to get internet
    Internal give internet to the PC's and the 2k server
    DMZ to give to DNS server

    I don't know what's going on...let me know if you can help... 

    Also, that stuff that you said you were having trouble following, i just copied and pasted that straight from the firewall, so it's exactly what you had there, i just didn't make it look nice like yours
  • 0 in reply to Teren
    When you are defining terminal services, you must define the source port as 1024:65535 and the destination as 3389.

    The source port is not restricted to being port 3389.  The log is telling you that the source coming from that IP is actually 4172.  The next time, it could be 7632, or 6661.  The point is that only the DESTINATION port is defined.

    That should fix your problem.

    LK  
  • 0 in reply to LKraven
    that should work.  I see no reason why it shouldn't.

    ok.  add this rule to your packet filter and try it:

    any any any allow

    be sure to delete the rule after you test.  this will tell us if it is not working because your packet filter isn't setup right or you DNAT rule is wrong.  
Reply
  • 0 in reply to LKraven
    that should work.  I see no reason why it shouldn't.

    ok.  add this rule to your packet filter and try it:

    any any any allow

    be sure to delete the rule after you test.  this will tell us if it is not working because your packet filter isn't setup right or you DNAT rule is wrong.  
Children