Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 2 subscribers
  • Views 1953 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNAT - ran out of ideas

javelin
Hello all.

I've configured several ports to Allow through the firewall
but the ports are still being blocked.

Okay, I've already read the how-tos, manuals, etc. and I
already have common ports open and allowed through the
firewall; ie, HTTP, HTTPS, SMTP, POP3, without a hitch.

I created a new service, wow1 port 3724, and when I tried
testing it to see if it goes through, it's still being blocked.
This port is created simillarly to the HTTP port and is also
destined to the same host. See the following: 


Services:[/u]

  	 Name  	 Protocol  	 Source Port  	 Destination Port 

	HTTP 	TCP 		 1024:65535 	 80

	wow1 	TCP		 1:65535	 3724



NAT Rules[/u]

State Name	Match Parameters                    SRC Translation     DST Translation	 

web_services	Any -> external (Address) / HTTP    None                amed / HTTP	 	

wow1	 	Any -> external (Address) / wow1    None                amed / wow1	 	

	 

Packet Filter:[/u]

		Group 		Source 		Service 	Action    Destination 	

1		[none]		Any		wow1	        Allow	  amed

2		[none]		Any		HTTP	        Allow     amed			



Testing:[/u]

Port	Status		Protocol and Application[/u]

80 	OPEN! 		World Wide Web HTTP

3724 	Closed 		battlenet

[/code]



When I test my firewall using an internet port test, it sees port 80 open

but port 3724 closed. Considering these two ports are created simillar,

what am I missing or misconfigured?



Any ideas or suggestions is appreciated, fast. I'm losing lots of hairs... :{



Thanks!

jav


This thread was automatically locked due to age.
Parents
  • 0
    The rule should be:

    Source: Any
    Service: wow1
    Destination: (FIREWALL EXTERNAL INTERFACE IP)

    Then the NAT rule should grab the traffic.
    (Hint check the live filter log).

    Also, suggest you don't alter the destination protocol unless you need to, just set it to the default Unchanged or whatever it is.
  • 0 in reply to Simon Shaw
    Aehm, why are you NATing incoming traffic from Battlenet. As far I remeber, all you need is to allow the traffic from your client to the battlenet server, not the other way.
  • 0 in reply to NimmdirKeks
    The port needs to know its final destination. Allowing it through the firewall is one thing; routing it to its final destination is another. NATing it will serve this
    purpose, isnt? [:)]
  • 0 in reply to javelin
    Just use a the MASQ rule, works fine. My kids access WOW without specific NAT'ing, just a general rule for all users on that network to the WWW interface.

    I have filter rules that only allow traffic above 1024 except one for ftp (hotmail login) and use the HTTP/S, POP3 and SMTP proxies.

    Ian M
  • 0 in reply to RFCat_vk_01
    Just use a the MASQ rule, works fine. My kids access WOW without specific NAT'ing, just a general rule for all users on that network to the WWW interface.

    I have filter rules that only allow traffic above 1024 except one for ftp (hotmail login) and use the HTTP/S, POP3 and SMTP proxies.

    Ian M


    Do you mind sharing how your MASQ and Packet Filter is setup? I also setup
    MASQ and filtering but it seems that I may have a few glitches.

    I don't think I understand how DNAT/SNAT works that well...I thought I did... 

    Thanks!
    jav
Reply
  • 0 in reply to RFCat_vk_01
    Just use a the MASQ rule, works fine. My kids access WOW without specific NAT'ing, just a general rule for all users on that network to the WWW interface.

    I have filter rules that only allow traffic above 1024 except one for ftp (hotmail login) and use the HTTP/S, POP3 and SMTP proxies.

    Ian M


    Do you mind sharing how your MASQ and Packet Filter is setup? I also setup
    MASQ and filtering but it seems that I may have a few glitches.

    I don't think I understand how DNAT/SNAT works that well...I thought I did... 

    Thanks!
    jav
Children
  • 0 in reply to javelin
    Jav,
    my MASQ rule is 
    internal network all/all external network interface.

    Like you I have tried some of the fancier rules, thought I knew how, but didn't really need them.

    I have a group of services I use to manage internet access and force most of the traffic through the proxies. I use the HTTP/S, POP3 and SMTP proxies. The proxies give me virus and content scanning and access control with the use of black and whitelists. I was using the DNS proxy, but couldn't see that the advantages were that great. I know I could drop the DNS entry from the filter rule, but there was a lot in the Proxy I didn't fully understand so best left out of configuration.
    The filter rule allows 
    DNS
    FTP
    FTP-Control
    TCP_UDP_ALL
    otherwise anything below 1024 is blocked by default.

    I also have time managed access in place using reduced rulesets.

    Hope this is of some help.

    Ian M