Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 2 subscribers
  • Views 1951 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNAT - ran out of ideas

javelin
Hello all.

I've configured several ports to Allow through the firewall
but the ports are still being blocked.

Okay, I've already read the how-tos, manuals, etc. and I
already have common ports open and allowed through the
firewall; ie, HTTP, HTTPS, SMTP, POP3, without a hitch.

I created a new service, wow1 port 3724, and when I tried
testing it to see if it goes through, it's still being blocked.
This port is created simillarly to the HTTP port and is also
destined to the same host. See the following: 


Services:[/u]

  	 Name  	 Protocol  	 Source Port  	 Destination Port 

	HTTP 	TCP 		 1024:65535 	 80

	wow1 	TCP		 1:65535	 3724



NAT Rules[/u]

State Name	Match Parameters                    SRC Translation     DST Translation	 

web_services	Any -> external (Address) / HTTP    None                amed / HTTP	 	

wow1	 	Any -> external (Address) / wow1    None                amed / wow1	 	

	 

Packet Filter:[/u]

		Group 		Source 		Service 	Action    Destination 	

1		[none]		Any		wow1	        Allow	  amed

2		[none]		Any		HTTP	        Allow     amed			



Testing:[/u]

Port	Status		Protocol and Application[/u]

80 	OPEN! 		World Wide Web HTTP

3724 	Closed 		battlenet

[/code]



When I test my firewall using an internet port test, it sees port 80 open

but port 3724 closed. Considering these two ports are created simillar,

what am I missing or misconfigured?



Any ideas or suggestions is appreciated, fast. I'm losing lots of hairs... :{



Thanks!

jav


This thread was automatically locked due to age.
  • 0
    The rule should be:

    Source: Any
    Service: wow1
    Destination: (FIREWALL EXTERNAL INTERFACE IP)

    Then the NAT rule should grab the traffic.
    (Hint check the live filter log).

    Also, suggest you don't alter the destination protocol unless you need to, just set it to the default Unchanged or whatever it is.
  • 0 in reply to Simon Shaw
    Aehm, why are you NATing incoming traffic from Battlenet. As far I remeber, all you need is to allow the traffic from your client to the battlenet server, not the other way.
  • 0 in reply to Simon Shaw
    Okay, I changed the Destination to my external interface and also put the
    destination protocol to Unchanged per your suggestion. 

    Packet Filter Rules

       Group   Source   Service   Action   Destination

    	

    1 [none]   Any      wow1      Allow    inwall (Address)  

    

    

    NAT Rules 	  

    Name   Match Parameters                  SRC Translation      DST Translation	

    wow1   Any -> inwall (Address) / wow1    None                 amed



    I've tested the port again and monitored live packet filter log. It's coming in
    but it's still being dropped: 


    Live Packet Filter Log

    

    08:49:01 	4.79.142.206 	48280 	-> 	24.107.nnn.nnn 	3274 	TCP 	40 	 	120 	WINDOW=8192 RES=0x00 SYN URGP=0

    

    or

    

    2006:05:29-08:49:01 (none) kernel: DROP: IN=eth2 OUT= MAC=00:50:fc:78:3d:41:00:05:00:e4:88:fd:08:00 SRC=4.79.142.206 DST=24.107.nnn.nnn LEN=40 TOS=0x00 PREC=0x00 TTL=120 ID=32768 PROTO=TCP SPT=48280 DPT=3274 WINDOW=8192 RES=0x00 SYN URGP=0 


    Packet filter rule clearly states to allow the port through. What else can I look at or change to make this work?

    Any other ideas or suggestion is much appreciated...

    Thanks!
    jav
  • 0 in reply to NimmdirKeks
    The port needs to know its final destination. Allowing it through the firewall is one thing; routing it to its final destination is another. NATing it will serve this
    purpose, isnt? [:)]
  • 0 in reply to javelin
    Just use a the MASQ rule, works fine. My kids access WOW without specific NAT'ing, just a general rule for all users on that network to the WWW interface.

    I have filter rules that only allow traffic above 1024 except one for ftp (hotmail login) and use the HTTP/S, POP3 and SMTP proxies.

    Ian M
  • 0 in reply to RFCat_vk_01
    Just use a the MASQ rule, works fine. My kids access WOW without specific NAT'ing, just a general rule for all users on that network to the WWW interface.

    I have filter rules that only allow traffic above 1024 except one for ftp (hotmail login) and use the HTTP/S, POP3 and SMTP proxies.

    Ian M


    Do you mind sharing how your MASQ and Packet Filter is setup? I also setup
    MASQ and filtering but it seems that I may have a few glitches.

    I don't think I understand how DNAT/SNAT works that well...I thought I did... 

    Thanks!
    jav
  • 0 in reply to javelin
    Jav,
    my MASQ rule is 
    internal network all/all external network interface.

    Like you I have tried some of the fancier rules, thought I knew how, but didn't really need them.

    I have a group of services I use to manage internet access and force most of the traffic through the proxies. I use the HTTP/S, POP3 and SMTP proxies. The proxies give me virus and content scanning and access control with the use of black and whitelists. I was using the DNS proxy, but couldn't see that the advantages were that great. I know I could drop the DNS entry from the filter rule, but there was a lot in the Proxy I didn't fully understand so best left out of configuration.
    The filter rule allows 
    DNS
    FTP
    FTP-Control
    TCP_UDP_ALL
    otherwise anything below 1024 is blocked by default.

    I also have time managed access in place using reduced rulesets.

    Hope this is of some help.

    Ian M
  • 0
    Thanks to all who replied.

    Though I'm still unable to open the port as documented by BN, it does not
    mean that your suggestions does not work. I'm beginning to believe it's
    something to do with my firewall setup.

    Just for test, I've completely taken my firewall offline temporarily and then
    connected directly to battle.net. I was able to login without a problem.

    So, how was I able to setup a firewall that allows me to surf the internet,
    serve my own web and mail server but TOTALY UNABLE to setup a simple port
    just so that I can play a crazy online game! I guess I just got lucky.

    Downside of not being able to access the online game is that I can't play
    online without temporarily disabling my firewall. Upside is that I don't have to
    buy the game and pay monthly fee!  Thank goodness it was only a trial
    version... [:)]


    Thanks!
    jav
  • 0 in reply to javelin
    Jav,
    isn't WOW a UDP not TCP connection?


    Ian M
  • 0 in reply to RFCat_vk_01
    Jav,
    isn't WOW a UDP not TCP connection?


    Ian M


    Their troubleshooting documentation does not indicate whether the ports are UDP
    or TCP so I defined both in my services.

    In their documentation, they specified 7 ports allowed in the firewall which I
    setup.

    I even turned off all NATs and Packet Filter Rules and worked only with MASQ
    and one Packet Filter Rule for MASQ:

    MASQ:
         eth0(internal)  -> All / All (eth2 external)

    Packet Filter Rule:
          Private_Network_192.168.0.0 All Allow eth2

    With that setup, since I'm initiating the connection to WOW, normal TCP handshaking
    should work and ports should be allowed, at least that's how I see it.

    I'm therefore amazed at how your kids can access WOW just by MASQ setup
    alone.

    Does my MASQ and Packet Rule makes sense?

    Thanks!
    jav