Allow specific app to use proxy that is not filtered.

Hi, so2, and welcome to the User BB!

I'm not sure I understand your question.  Is this solved with a NAT rule like 'Internet -> {group of p2p services} -> External (Address) : DNAT to {internal IP of server}'?

If that's not it, then maybe you could give an example of what you'd do on Cisco.

Cheers - Bob

Yes.  Thank you.  Reading back that is not very clear.  Last night I set up a DNAT rule and got some torrents working.  However, trackers based on ports do not work, eg. Ubuntu.  On a Cisco device I would set up a ACL with a source of (internal host) (host src port) and destination of (ISP or another server) (with dst port (if needed)).  And vice versa for the return trip.  However I have never set up a proxy other than HTTP/S for ssh and user DB on Cisco devices.  This may be missing a few steps as I've never had this problem on a production device.  Might it be possible to open a port on ASG and SNAT it to the IP[:P]ORT of internal host whilst leaving the rest of the machine behind the ASG?  I may be getting my NATs mixed up again though.  Also, is there a CLI guide for ASG?  I ask because that is what makes Cisco relativity easy.  GUI's are for monitoring and CLI's are for configs.  Thanks...

is there a CLI guide for ASG?

There isn't.  Astaro configuration is completely based around the GUI and the backend scripts that are called from it.  Direct configuration from the shell is completely unsupported unless directed to do so by Astaro Support.  Some changes made directly from the shell are even reverted when updates are applied.

a source of (internal host) (host src port) and destination of (ISP or another server) (with dst port (if needed)) 

In Astaro, this would be setup as an SNAT.

Thank you Scott.  Since this is a SNAT for a single host is there a way to set up a SOCKS 4 or 5 to allow apps to connect to it so that configs for server and host apps are more streamlined?  And if possible allow complete bypassing of the firewall.  I saw the SOCKS proxy in the settings last night but was not successfully able to implement it.

so2, if you want to play aty the command line, Astaro isn't for you.  If you want a powerful tool that's easy to manage and quick to modify, you won't find a more elegant tool than Astaro.  As far as routing and firewall capabilities are concerned, there's almost nothing you can do on a Cisco that can't be done more easily and more quickly with Astaro.

In 'Network Security >> Advanced', you can define a 'Generic Proxy' if you'd like, but, from your description, one or more DNAT (Destination NAT) rules should be all you need.  In Astaro, SNAT means "Source NAT" and all connections are stateful - you shouldn't need a source NAT to do what you want.

Cheers - Bob
PS Just saw your last post.  I don't think the Socks Proxy will do what you want.  If you want to bypass Intrusion Prevention for anything, you have to configure that in that section.  When you configure a DNAT or a Generic Proxy, the traffic handled by them is not subject to manual routes and firewall rules.

Thank you BAlfson.  I agree that ASG is easier to configure than a Cisco device.  It is just me having more experience with Cisco that makes me bias.  In regards to a generic proxy, this would not cache the web pages, right?  That will be for a later project.  In the opening of ports however, since some of the apps require certain ports to be visible on the WAN, and the apps use 1024:65535 to connect to the WAN,  how can I make it so that the apps connect to the proxy on one port and the porxy handles the port mapping and filtering and such.

In regards to a generic proxy, this would not cache the web pages, right?

Correct.

The Astaro is a stateful firewall.  The conntrac module tracks all connections.  Say you create a Service definiton "uTorrent" as "1:65335->49152" and a Host defintion "Server" for your internal server.  You can create a NAT rule 'Internet -> uTorrent -> External (Address) : DNAT to Server'.  Now, say someone sends a packet with source port 55555 and destination port 49152 to your Astaro.  Conntrac will make a note of this and the Astaro will forward the packet to your server.  The server will reply with source port 49152 and destination port 55555 and the Astaro will return the response packet to the original sender.

Did I understand your question?

Cheers - Bob

I've uploaded a pic of what I think your saying.  But it still doesn't work.  I've also changed the port for utorrent to accept incoming connections on 49152.

You've reversed the information for the destination and source ports.  You want external systems to connect to you on port 49152 (destination port), but you can't control what port other systems are connecting from.

Ah.  That makes it sorta work. Now how can I connect to others.  I took a screenshot of the log for the firewall and it is blocking me from accessing people.  Also the DNAT allows DHT to finally work, but others still cannot download.  I defiantly think I missed a whole step here.  Is there a way to make the logs tell me why it's blocking something?  Or which rule was fired?