Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 2 subscribers
  • Views 49900 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Port forwarding

Yme
Is there an esier way to port forward? Astaro is such a great product, but truly most of this stuff is so far over my head that i'd need an airplane ticket just to get it in sight! 

I tried to portforward ftp from the external interface to an internal machine using some of the suggestions i've gotten here in the news group, but i can't seem to make it work. 

I did just as the last topic poster did. 

Maybe Astaro should create a faq or a doc sheet on their documentation repository with some very specific examples of port forwarding setup (the ones up there now are very lacking) 

I also noticed that Astaro CM does portforwarding from a pretty interface, would that be a motive to make ASL harder so you bought CM?   


This thread was automatically locked due to age.
  • 0 in reply to Yme
    Question?  After significant testing, I realized that my port forwarding is working, from the OUTSIDE.  The problem was that when I sent to my external address from inside, it converted it to the internal address.  It then either put the packet on the outside, or for some reason the server was unable to respond.  (I can see the packet ACCEPT in the log and that the destination is changed to 192.168.x.x, but it doesn't tell me what interface it sent it to.)

    So how do I set it up so that I can get to my web server inside without using the internal address? 
  • 0 in reply to Guido666
    Hi,
    if the adress is changed to 192.168.x.x it sends this packet to the interface where an ip-route is set to so if one of your asl-intefaces is in this net the packets are send to this net dirctly if you dnt know this net its going where your default-route sends it. Maybe the computer to where you have your portforwarding configured has not a masqerading rule for the answer packet than they will be not changed and with 192.168.x.x they are going outside your lan but where should the receiver of these packets should send his answers ?

    firebear  
  • 0 in reply to firebear_01
    Thanks Firebear.

    Next question:  What kind of rule would I set up to tell packets from the internal server headed to internal computers so they are talking back in a way the internal sender can receive them?

    Sorry, that is confusing.  If I try to access my internal server from inside my network, the packets make it to the server.  But the server's reply never gets back to the (interal) computer.  Where are these packets going? 
  • 0 in reply to dps
    I run DNAT like they're talking about with a 2 NIC setup.  What does your config look like?

    psychorugger  
  • 0 in reply to Guido666
    Guido666:

    1. Are you using a 3 NIC layout (with DMZ) or a 2 NIC layout?
    2. Are you MASQ the the webserver?

    If you are MASQ the webserver I would assume that the response from the webserver is not translated since the request comes from a internal address. This will couse the requesting host to ignore the packets since it is expecting a reply from the external address witch it was addressing. 

    If you suspect something like this you may wanna try to SNAT instead. Witch I recon always translates the address.

    Another issue would be the usage of DNS on a 2 NIC layout, but lets get back to that if its a problem  [:)]  
  • 0 in reply to Overnet
    ... or safe (s)ex  

    Well how do you mean?
     - If the examples work: the answer is yes.
     - If its the best way to do it: well you be the judge of that  [:)]  
  • 0 in reply to AJo
    Funny you are but i realy will know if it is safe from hackers like you say in here. But you help me some time times and i werry happy for that 
  • 0 in reply to Overnet
    Well the safety regarding hackers depends on how tight you made your filter rules and of course any weakness/exploits in the ASL used packages.

    Regarding port security its always a good idea to disable ping reply to prevent portscanning and not use regular ports (unless required) on the outside. That way it makes it a bit harder for the hackers. It's all up to how paranoid you wanna be  [:)]