Port Forwarding

You want to look into Astaro DNAT and SNAT rules.

Yes, i'm talking about Astaro DNAT and SNAT rules but what do you mean ?

Hi, create a new DNAT on your EXT interface for the service you want to allow inbound, and change the DEST to the internal server. You can also change the service (port) if needed.

Be sure to check the 'auto packet filter rule' or define a PF rule yourself (with the internal server as the DEST).

There's examples in the manual or at
https://support.astaro.com/support/index.php/Main_Page

Barry

Barry, 

Thanks for your informations.
I already used all these basic steps for simple definitions.
My question were about more elaborated rules.

I discover Astaro and i very much prefer it over Untangle but this one has some few goods things like port forwarding definitions. Here in images what i'm searching to do in Astaro :
Rule 1
Rule 2

As you can see, for a single rule, you can add several conditions which allow to describe precise situations. This is precisely what i'm searching to do in Astaro.

Hi, you can do the same things in Astaro, just setup Service Definitions for the ports and protocols you want.

Barry

I'm not sure to understand as in an Astaro NAT rule, we can specify only one service definition at a time and not many service definitions for a single NAT rule as described in my examples

There's a few things that you can do here with Astaro:
 
1) An individual serice is not limited to a single port, but can also be a range. A good example of this is the built-in service H323. Take a look at it. The ports for this service are listed as 1719:1720. This means that the service can be on ports 1719-1720. You can create your own service definitions to match and ports that you want and then use then in SNAT, DNAT, or Packet Filter rules ...anywhere a service definition in applicable. You can create a service like your Rule 2 by specifying the destination port as 5700:5900.
 
2) What barry was trying to explain is that you can also create a special kind of service definition called a service group. In WebAdmin go take a look at Definitions>Services. Click on New Service Definition and looks at the dropdown choices for Type of Definition. You see an option called Group at the bottom. In a service group, you add individual service definitions to make up the group. For an example of this, look at the pre-defined service group called Email Messaging, just click on edit. You can even mix and match services for different protocols, like TCP, UDP, IP, etc. Then you can use the service group anywhere you would use any other service definition. Using Service Groups, you would only need a single NAT rule for each host, combining the Rule 1 and Rule 2 that you would need to use in Untangle. Infinitely more "powerful" than Untangle. [:)]
 
You don't even have to go to the service definition area within WebAdmin to create a new service or service group. Anywhere that you would add a service, click on the plus sign and you can create it right from there, like when creating a NAT rule.
 
Don't get too worked up over the way a single UTM vendor does things, because they all are managed differently and there's isn't one "right" way.  Switching from Untangle to Astaro, there will be a learning curve.  If you were to try Sonicwall, Cisco, Zyxel, Endian, Watchguard, etc....they are all quite different from each other in their interfaces.  Take a little time and look through options provided. Click on buttons and activate drop downs to see what they will let you do. I think that you'll be pleasantly surprised. Even when you create a new NAT or Packet Filter rule, they won't be activated until you turn them on, so don't be afraid to create test rules for yourself to become comfortable with the interface.

Thanks Scott, i smell the path now [[:)]] i should have guess by myself (as i already used the email group service in a dnat rule) but that's the kind of intuition in Astaro context i'm currently learning with your help. I don't know if it's more powerful than Untangle but it seems indeed to do the job, even if more indirectly (but also maybe in a cleaner way finally).

>"You don't even have to go to the service definition area within WebAdmin to create a new service or service group. Anywhere 
>that you would add a service, click on the plus sign and you can create it right from there, like when creating a NAT rule."

Yes, but as i saw that i were creating services that already exist, that makes me go to the service menu finally to check if a definition exist for a particular port... so the plus sign were a good idea but it implies we have in mind almost all the service definitions...

Yes, i already have pleasant surprises in the Astaro online demo first and then on my fresh install, i don't have much regrets from switching [[:)]]

Like iPhone commercials, "There's an app for that". Try this: When creating a new NAT rule, first click on the folder icon. From here you can review existing service definitions and if you see what you need, you can just drag and drop. If you don't then click the plus symbol to create what you need. Now you don't have to memorize the pre-defined service definitions and don't have to go to Definitions>Services. [:)]
 
One of the coolest things with Astaro is that they listen to customers. They even have a web site for features requests, and the majority of new features come from here. Astaro Gateway Feature Requests . Check out the stuff in the Approved section. Some really cool things coming in 8.200, like application awareness.

Like iPhone commercials, "There's an app for that". Try this: When creating a new NAT rule, first click on the folder icon. From here you can review existing service definitions and if you see what you need, you can just drag and drop. If you don't then click the plus symbol to create what you need. Now you don't have to memorize the pre-defined service definitions and don't have to go to Definitions>Services. [[[[:)]]]] 

In fact yes i have to [[[[:)]]]] because that's what i were doing but finally i were wasting more time than coming back to the services menu. Why ? because when there are more and more definitions, it takes time to look into for something and it's faster to go back to the services menu and make a search on the port number. The solution would be a quick search directly into the "+ pop window" which could be achieved by having some choices proposed in a listbox while we are typing.
 

One of the coolest things with Astaro is that they listen to customers. They even have a web site for features requests, and the majority of new features come from here. Astaro Gateway Feature Requests . Check out the stuff in the Approved section. Some really cool things coming in 8.200, like application awareness.

Thanks for the information, i will look at it right now. By now, i look their work as very serious and profesional, the quality of their work is quite impressive (software, web site and so on...)

EDIT : you' right, some coming features are very cool [[[[:)]]]]. I also defenitly love their home edition, it's for me one of the obvious influence of adopting Astaro at work after. Now, i understand differently Untangle developers saying Astaro and Untangle doing the same thing [[[[:)]]]], in fact they work in the same "software nature field" but in terms of functionalities, Astaro has, very clearly, a lot of advance...