Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 7365 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Allow incoming SSH -- help!

nloding
So I thought I had this nailed, but being a newbie I bunked something up.  Quick setup note: Cable modem > eth0 on firewall; DLink DGL4300 router on eth1.  I wanted to try to use the router for routing instead of the firewall.  IP address of the workstation I want to SSH into is 192.168.1.140.  SSH works fine internally.

As of right now (still building the firewall) I only have three Packet Filter rules, in this order: LAN > ANY > ANY = ALLOW; ANY > SSH > LAN = ALLOW; ANY > ANY > ANY = BLOCK.  I defined the SSH service as port 22.

In my router, I added a rule under the Game filter (according to portfoward.com) to forward port 22 TCP/UDP to 192.168.1.140.

When I try to SSH in externally, it won't connect.  I think it's the firewall.  What did I muck up in the rules?


This thread was automatically locked due to age.
  • 0
    Hi,

    you need a DNAT rule:
    ANY, External Interface Address, SSH >> 192.168.1.140, SSH
    You can use the auto packetfilter rule flag (DNAT page) to create the pfrule.

    You have to ssh to your External Interface Address from the internet, since 192.168.1.140 is a private address (not routable).

    Kind regards,
    Daniel
  • 0 in reply to anonymous_02
    I was using my WAN address to SSH in, and it just disconnected.

    Why do I need a DNAT rule?  I'm new to firewalls and trying to understand all I can.
  • 0 in reply to nloding
    You might want to read the manual; it explains NAT and Packet filtering pretty well.
  • 0
    The ASG likely does not know where to send the packets because it's first in line before the router. Packet filters don't tell the firewall where to send traffic, just to allow (or disallow) it based on port, source and destination.  
    You will have to set up a DNAT rule on the firewall to tell it what interface (at a minimum), or host, (ideally) should receive inbound SSH packets.