Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 1564 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

newbie Questions

jes7er
Okay,

I am new to Astaro but not firewalls and network security ... I have a few Astaro questions that I do not know where to find the answer - If you can point out a guide - I will happily look there [:)]

Astaro outbound is ALL good...

I need to configure an Internal FTP Server so ... 

Do I need to add the specific server IP to the interfaces additional address??? If I don't I cannot even ping it.

Then I assume I need to create a DNAT, I ticked the auto rule, but the live log showed drop packets on the external IP.  I had to create a rule to allow 21 to the external IP - why - is the DNAT wrong?

Are the DNAT rules stateful?

Are the packet filter rules stateful?

Why does the network inteface with a 255.255.255.240 subnet mask not support forwarding without another specific host identified?

Thanks in advance
Tony


This thread was automatically locked due to age.
  • 0
    Tony, welcome to Astaro.

    The Astaro Knowledgebase is the right place to look for the documentation you need, and you can download the User Manual directly from your Astaro from 'Support >> Manual'.

    The Astaro is a stateful firewall, so the answers are yes.

    Why does the network inteface with a 255.255.255.240 subnet mask not support forwarding without another specific host identified?

    I don't understand your question.

    Cheers - Bob
  • 0
    Thanks for the quick response...I will read the manual, I did have a look and whilst it's good for explaining what each aspect of the astaro does -  it does not walk through any best practices?  I would have thought a "Set-up internal Services Host e.g. Web Server" would have existed, are these somewhere else?

    To explain my network interface question in more detail:  the network is subnetted to 255.255.255.240.  I have configured an internal server on 192.168.0.188, but inorder to allow access to the device on 188, I seem to have to add a 217.***.***.228, WAN Additional IP to the WAN, with 255.255.255.255  - I would have that a NAT rule forwarding packets would have informed the interface that a device exists and the additional address was not necessary?

    Thanks again
    Tony
  • 0
    The Astaro Knowledgebase is the right place to look for the documentation you want; there is a specific documnet for this issue.

    The subnet on 'External (Address)' needs to be large enough to include the IP of the default gateway assigned by your ISP.  (In a 2011-12-28 post, da_merlin explained that the subnet doesn't need to include the default gateway.)  This is unrelated to the 'Additional Address' issue.

    You would need to create a 'Definition >> Networks' for the private, internal IP of your server; for example: "FTP Server" -> 192.168.0.188.

    And, if you want people to reach "FTP Server" on a different, public IP address, you do need to create an 'Additional Address' on the External interface; call this "FTP Public" -> 217.***.***.228 with 255.255.255.255.

    A sample DNAT would be:

    Traffic Source:  Any 
    Traffic Service: FTP
    Traffic Destination: External [FTP Public] (Address)

    NAT mode: DNAT (Destination)

    Destination: FTP Server
    Destination Service: [leave empty]



    Cheers - Bob
  • 0
    Thanks Bob,

    The subnet includes the default gateway [:)]

    All the rest is how I've got it set-up, the only really issue (I suppose) is the mess of network definitions if every public server needs 3 (host, broadcast, network) interface definitions.  On this network it's not too bad, but we have 40 public hosts on one of out other networks?


    Tony
    Stay off that iPhone - it'll kill you
  • 0
    Hi,

    Still having problems - don't you just hate things that are so easy on the device you know, being hard on the ones you don't???

    Okay, for some reason I cannot connect on http (trying http instead of FTP at moment).  I have followed the kbase guide I found (thanks).  

    Cannot see why now ... 

    16:00:39  Connection using NAT  TCP  62.24.166.162:64080
    →  217.***.***.228:80
    16:00:40  Packet filter rule #10  TCP  62.24.166.162:64080
    →  192.168.0.188  :  80

    If I don't specifiy 2 rules for 192. and 217. allowed, I get a dropped in the live log.  (Thought the NAT would handle 1, but that's a different question).

    I cannot see why the web server will not connect?

    Any ideas...please?
    Tony