Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 2 subscribers
  • Views 412 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

NAT/Packet Filtering issues

cpmccull
alright here we go...

I've got 7 IP-based security cameras behind an ASG v6 box.  The internal interface is configured to 192.168.0.1, and the external interface is configured to x.x.x.105

Each camera is configured with an IP address related to the room it is in ie the Room 117 camera is 192.168.0.117, Room 118 is 192.168.0.118, etc etc.

I need to be able to control access to the cameras from our public network. The way I'd like it to work is to configure rules in the firewall such that when it sees a specific port requested by an authorized host on the public network, it knows to forward all traffic for that connection to the associated camera. Again, I've set the ports to correspond to the room number. To access the Room 117 camera, you would have to type x.x.x.105:117 into the web browser. The ASG would then forward ALL traffic (all ports open to and from that particular host) to the Room 117 camera.

However, that isn't working at the moment. I can't even connect to the cameras, and I can't seem to figure out why. The rules I have in place are as follows:

DEFINITIONS
Networks 
SPE-Users: all users on the public network authorized to access the cameras.
Observation Cameras: all the cameras on the private network.
Services
r117 - TCP SrcPort 117  DestPort 1:65535

NAT/MASQ
Rule Type: MASQ
Network: Internal (Network)
Interface: Internal

PACKET FILTER
Rule 1
Source: SPE-Users
Service: r117
Action: Allow (High Priority)
Destination: r117 (192.168.0.117)

Rule 2
Source: Observation Cameras
Service: Any
Action: Allow (High Priority)
Destination: SPE Users

I also noticed this in the packet filter log...
 [ QUOTE ]
 2006:01:11-00:00:09 (none) ulogd[2736]: DROP: IN=eth1 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx  SRC=x.x.x.81 DST=x.x.x.105 LEN=48 TOS=00 PREC=0x00 TTL=128 ID=60951 CE DF PROTO=TCP SPT=1393 DPT=23 SEQ=3558176618 ACK=0 WINDOW=65535 SYN URGP=0  

[/ QUOTE ] 
the x.x.x.81 is my workstation that I'm trying to access the network from, which is in the SPE-Users group.

Based on this information, can anyone see anything I'm doing wrong? I'm completely stumped.


This thread was automatically locked due to age.
  • 0
    One thing to keep in mind: Firewall rules are applied after NAT tranlation.

    You need to setup some NAT rules which translate x.x.x.105: to 192.168.0.x port 80.

    For example, you'd create a NAT rule with the following parameters:

    Rule Type: DNAT/SNAT
    Packets to Match:
     Source Address: Any
     Destination Address: x.x.x.105
     Service: port 117
    Change Source to: No Change
    Change Destination to: address 192.168.0.117 source destination 80

    That would take care of room 117. Add more NAT rules for each room.

    Then create a firewall rule for each room. Note that the rule will use the internal IP/port as the destination.