Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 24 replies
  • Subscribers 2 subscribers
  • Views 16833 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNAT Madness

ggbrown
We have an ASG120 between our Cable internet connection and our internal network (Masquaraded).

Going OUT from the internal network works no problem. I've checked a few features (blocking certain sites etc) and they work fine, but I want to enable ssh access to a server from outside our network, and eventually HTTP to a webserver.

Despite following the knowledgebase article 239708 to the letter, I am never forwarded to the server on our internal network. I continually time out.

My DNAT rule is as follows:
Name: SSH to Server
Traffic Source: Any
Traffic Service: SSH
Traffic Destination: External(Address)
NAT Mode: DNAT (Destination)
Destination: Main Server (established in Definitions)
Destination Service: SSH
Auto Packet Filter: unchecked

In Packet Filter I have a rule:
Position: Bottom
Source: External(Address)
Service: SSH
Destination: Main Server
Action: Allow

Both DNAT and Packet Filter rule are enabled, however, it still times out.

However, if i disable the DNAT rule, I can ssh into the Astaro box itself.

Am I missing the obvious here?

Many thanks,
Grant


This thread was automatically locked due to age.
Parents
  • 0
    Hello,

    You have to set "Source:" to "Any" or the specific host/network from where you want to access the SSH service.
    Alternativley, set  "Auto Packet Filter" to "yes".

    regards,
      martin
  • 0 in reply to Sidi
    Thanks for the reply Martin, but can you clarify?

    "You have to set "Source:" to "Any" or the specific host/network from where you want to access the SSH service."

    Are you referring to the Source on my Packet Filter Rule, or on the DNAT rule?


    Thanks,
    Grant
  • 0 in reply to ggbrown
    disable ssh access on astaro, and your dnat/pf rules should work
  • 0 in reply to gkemter
    Or use a different port for either your SSH DNAT, or Astaro's SSH.

    I use 2222 for my DNAT.

    Barry
  • 0 in reply to ggbrown
    Hello,

    Thanks for the reply Martin, but can you clarify?

    "You have to set "Source:" to "Any" or the specific host/network from where you want to access the SSH service."

    Are you referring to the Source on my Packet Filter Rule, or on the DNAT rule?


    Thanks,
    Grant


    I mean the Source in the Packet Filter rule.
    And yes, if you want to access both SSH daemons on the firewall and your server you have to change
    the port of one of them to a different port (2222 for example).

    regards,
      martin
Reply
  • 0 in reply to ggbrown
    Hello,

    Thanks for the reply Martin, but can you clarify?

    "You have to set "Source:" to "Any" or the specific host/network from where you want to access the SSH service."

    Are you referring to the Source on my Packet Filter Rule, or on the DNAT rule?


    Thanks,
    Grant


    I mean the Source in the Packet Filter rule.
    And yes, if you want to access both SSH daemons on the firewall and your server you have to change
    the port of one of them to a different port (2222 for example).

    regards,
      martin
Children
No Data