Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 2 subscribers
  • Views 15368 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Creating NAT

sgkross
Hello guys I'm trying to create a NAT here but for some reason it's not working... let see I'll first let me tell you that this is a VOIP Application, and it connects to a server outside our Organization, in the following way:

Destination IP (VOIP Server): 72.*.*.*
Protocols i'm going to use: TPC/UDP
and the ports that say 1:65535, are supposed to be dynamically assigned ports, but to make sure it'll work i put them like that.
being this said ports to be used:


  • First Port: Destination IP - Protocol: UDP - Destination Port: 5060 - Source IP: Internal network - Source port 5060 - Service name:Voice Signaling
  • Second Port: Destination IP - Protocol: UDP - Destination Port: 6000:10000 - Source IP: Internal network - Souce Port: 1:65535 - Service name: Voice Traffic
  • Third Port: Destination IP - Protocol: TCP - Destination Port: 80,443 - Source IP: Internal network - Souce Port: 1:65535 - Service name: Web
  • Fourth Port: Destination IP - Protocol: TCP - Destination Port: 1024:65535 - Source IP: Internal network - Souce Port: 1:65535 - Service name: RMI, Web


I have created them like the services as displayed:


but when I try to create the NAT I have no clue if I should use DNAT or FULL NAT or SNAT, y tried DNAT like this:



no clue why is not working, but i'll really appriciate any comments, thanks


This thread was automatically locked due to age.
  • 0 in reply to dknyinva
    Hello guys, I did the correction suggested but still not working.

    here is my Masquerade settings:


    and the PF settings:


    on the view log it seems to be dropping the packets and they're directed to the correct port.

    By the way this is what I see on the Log:

    2010:09:13-14:14:38 firewall httpproxy[4878]: id="0002" severity="info" sys="SecureWeb" sub="http" name="web request blocked" action="block" method="GET" srcip="192.168.2.50" dstip="" user="" statuscode="403" cached="0" profile="REF_XuNiVJjWrk (Domain Admin - 17 Managers)" filteraction="REF_BzmATnKqTx (Domain Admin - 17 Manager)" size="4636" time="0 ms" request="0xece63a48" url="sjcenv01.five9.com:2210/.../ReadOnlyJNDIFactory" exceptions="av,auth,content,url,ssl,certcheck,certdate,mime,cache" error="Target service not allowed" 
  • 0
    Sorry, I didn't understand that you were trying to reach it via a browser.  In your browser, add a proxy exception for the Five9 IP-range.

    Cheers - Bob
  • 0 in reply to BAlfson
    maybe I wasn't very clear on that sorry >.

    I'll let you know guys if it worked
  • 0 in reply to sgkross
    hello guys, it did not worked out. I'm out of ideas to fix this one 

    I still get the following:

    2010:09:13-16:40:12 firewall httpproxy[4860]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="192.168.2.50" dstip="74.201.114.23" user="carlosm" statuscode="200" cached="0" profile="REF_XuNiVJjWrk (Domain Admin - 17 Managers)" filteraction="REF_BzmATnKqTx (Domain Admin - 17 Manager)" size="1440" time="196 ms" request="0xec20dea8" url="us2.five9.com/.../domainSupervisor.jnlp
     

    * Issue fixed [[:)]]

    how? well i went to Web Security / HTTPS then to Advanced 


    Then I went to "Misc Settings" and add the services to "Allowed Target Services" 


    now it works [[:)]]
  • 0
    Sorry i wasn't clear.  I meant in the PC browser connection settings, not in WebAdmin.



    Cheers - Bob
  • 0 in reply to BAlfson
    I added that information to the browser thanks [[:)]] 

    by the way, I have an internal application that works almost fine, it gives me the following error when trying to contact our internal reporting sql server: The request failed with HTTP status 407: Proxy Authorization Required.

    I added a Packet filter  to allow the ports the software use,  also add the ports to the Web / Advance / Misc. Settings , and is still giving me that same error.

    any suggestions let me know [[:)]]
  • 0
    Your internal users should have their browsers' proxy settings configured to skip the proxy for internal IPs - they should not be accessing via the Astaro Proxy.

    The basic order of consideration of traffic in Astaro is: DNATs first, then Proxies, then manual Packet Filter rules and Static Routes with SNATs being at the end.  Your packet filter rule is not considered because the traffic is being handled by the Proxy, so you must go around it.

    Cheers - Bob
  • 0
    thanks for all the information, it's working now [:)]