Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 2 subscribers
  • Views 15369 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Creating NAT

sgkross
Hello guys I'm trying to create a NAT here but for some reason it's not working... let see I'll first let me tell you that this is a VOIP Application, and it connects to a server outside our Organization, in the following way:

Destination IP (VOIP Server): 72.*.*.*
Protocols i'm going to use: TPC/UDP
and the ports that say 1:65535, are supposed to be dynamically assigned ports, but to make sure it'll work i put them like that.
being this said ports to be used:


  • First Port: Destination IP - Protocol: UDP - Destination Port: 5060 - Source IP: Internal network - Source port 5060 - Service name:Voice Signaling
  • Second Port: Destination IP - Protocol: UDP - Destination Port: 6000:10000 - Source IP: Internal network - Souce Port: 1:65535 - Service name: Voice Traffic
  • Third Port: Destination IP - Protocol: TCP - Destination Port: 80,443 - Source IP: Internal network - Souce Port: 1:65535 - Service name: Web
  • Fourth Port: Destination IP - Protocol: TCP - Destination Port: 1024:65535 - Source IP: Internal network - Souce Port: 1:65535 - Service name: RMI, Web


I have created them like the services as displayed:


but when I try to create the NAT I have no clue if I should use DNAT or FULL NAT or SNAT, y tried DNAT like this:



no clue why is not working, but i'll really appriciate any comments, thanks


This thread was automatically locked due to age.
Parents
  • 0
    port opened/listening use:
    run > cmd> netstat/a on your local voice box

    Traffic Source: Use "ANY" instead of your specific IPs Five nine (probably wrong block anyway, use different entire blocks so use any) Most VOIP have several blocks they use so its best to use ANY...they still must go to specific port anyway.


    try to remove auto packet rule other than that it looks good.

    mike
Reply
  • 0
    port opened/listening use:
    run > cmd> netstat/a on your local voice box

    Traffic Source: Use "ANY" instead of your specific IPs Five nine (probably wrong block anyway, use different entire blocks so use any) Most VOIP have several blocks they use so its best to use ANY...they still must go to specific port anyway.


    try to remove auto packet rule other than that it looks good.

    mike
Children
  • 0 in reply to MikeinNYC
    The post #2 from Balfson will work and that's all you need.

    "It looks like all you need is a Masquerading rule 'Internal (Network) -> External' and to allow outbound traffic with a packet filter rule. I suggest you put all of the outbound services into a service group named "Five9 Services" and create a single PF rule 'Internal (Network) -> Five9 Services -> Five9 Network : Allow'."

    I'm using Ooma VoIP and the method described above by Balfson works for me.  Most VoIP require only outbound traffic.  You might want to find out from your VoIP provider what ports are required and create services for those required ports.

    Good Luck
  • 0 in reply to dknyinva
    Hello guys, I did the correction suggested but still not working.

    here is my Masquerade settings:


    and the PF settings:


    on the view log it seems to be dropping the packets and they're directed to the correct port.

    By the way this is what I see on the Log:

    2010:09:13-14:14:38 firewall httpproxy[4878]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.2.50" dstip="" user="" statuscode="403" cached="0" profile="REF_XuNiVJjWrk (Domain Admin - 17 Managers)" filteraction="REF_BzmATnKqTx (Domain Admin - 17 Manager)" size="4636" time="0 ms" request="0xece63a48" url="sjcenv01.five9.com:2210/.../ReadOnlyJNDIFactory" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,cache" error="Target service not allowed"