Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 29 replies
  • Subscribers 2 subscribers
  • Views 20790 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNAT Entries work for a short period, only a reboot enables them again

ChristopherRuh
Folks,

I have specific NAT entries for my home-use UTM9 software box running current firmware to allow Xbox LIVE traffic inbound through DNAT (for partying, matchmaking, etc).  I'm not sure if this happens to anyone else, but it seems that the DNAT rules get dropped from iptables prerouting after an unspecified period of time.  Only rebooting the firewall has re-instated them.  Disabling and re-enabling the rules in WebAdmin has no effect.  NAT Type on XBL stays Moderate until UTM9 is rebooted and only then does it report again as being Open.  In anywhere from a few hours to a few days time... without having changed any part of the firewall configuration it will flip back to Moderate.

Just to make sure we're all grasping what's going on, XBL requires four port and protocol combinations inbound to work reliably for Multiplayer.  Note: connecting to XBL never fails as this only requires ports to be open outbound.  So I have four individual DNAT rules to include two UDP and two TCP entries.  All rules have the box checked to implement a firewall rule automatically.

UDP 88 to External -> UDP 88 to Xbox
TCP 88 to External -> TCP 88 to Xbox
UDP 3074 to External -> UDP 3074 to Xbox
TCP 3074 to External -> TCP 3074 to Xbox

Has anyone else seen this behavior, either associated with XBL or otherwise under UTM 9?  I'm beginning to wonder if the feature for automatically adding a firewall rule for each NAT rule somehow gets pushed out of the firewall config after a certain amount of time.  To date I haven't tried creating the firewall rules manually.  Think I should and see how it goes?

Thanks for your time,

Chris


This thread was automatically locked due to age.
  • 0
    I agree that it is fundamentally easy to get DNAT working.  And it works.  At least for a little while.  I burned my CD-ROM and installed on my dedicated hardware.  SuperMicro Dual-Core Atom with 4GB DDR2 and a 16GB SSD.  Uses 2 onboard NICs and a 4 port PCI-E x4 NIC for other interfaces.  The 2 onboard NICs are my external and internal interfaces respectively.  All NICs are Intel based.  They do however use two different chipsets.  All are Gigabit.  I use Brighthouse (Roadrunner Lightning) at home.  Xbox 360 is set with a static address.

    As for my buddy's setup:  Dell Tower Server two dual-core Xeon CPUs and 12GB DDR2 FB-DIMM memory running Hyper-V.  He downloaded his own copy of v9 and mounted it as the CD-ROM attached to the Sophos VM for installation.  Currently running 2GB of memory in his Sophos box.  VM nics are not legacy.  Uses Comcast 40Mbps Power Boost.  Important Note:  he lives in VA and I live in Florida.  So we each built our own and collaborated to get our IPSec tunnel working.

    When the issue happens, it doesn't happen to just one of us.  Both of our Xbox 360s report their NAT Type being Moderate instead of Open.  As soon as either he or I reboot the Middleware service, the Xbox 360 reports Open NAT for a period of 12 - 24 hours and then goes back to Moderate.  This is with NO change made to either firewall configuration.  And it doesn't just affect traffic between our two enclaves.  If we try to matchmake or party with other people that might not have Open NAT it fails as well.  So frustrating.

    I have taken it down to skeleton services and still nothing.  IPS, Proxy, IPSec, RA... literally everything.  When I look at the firewall log, everything is green.  No drops, traffic appears to go right through but never succeeds.  I know I'm not a Sophos expert, but I've spent the last decade as a Cisco ASA, Juniper NetScreen, and McAfee Enterprise Firewall (Sidewinder) engineer.  I know what to look for with something so trivial.  I've followed all the guidelines.  Removed all the bindings to interfaces.  Turned off all the features.  Loosened all security posture and it still won't work without a Middleware reset.
  • 0
    Yeah, I know you're not a babe in the woods with this stuff!  I agree that it couldn't be a CDROM issue if your buddy in VA mounted the ISO directly.

    Do try using fixed duplex and speed settings.  That will take a few days to cycle through.  I'm grasping at straws here though!

    In the meantime, Chris, if you want me to take a look at your configuration, click on my name beside my Cyrano avatar and send me an email so we can organize.

    Cheers - Bob
  • 0
    Bob,

    I will e-mail and send you the creds/URL to log into my Sophos remotely.  We'll see what we can come up with, though it will be a bit difficult to test with just one of us using a 360.  We'll figure it out though.  One way or another.

    Thanks,

    Chris
  • 0 in reply to ChristopherRuh


    Before:

    -A AUTO_FORWARD -d I.I.I.254/32 -i eth0 -o eth1 -p udp -m udp --sport 1:65535 --dport 3074 -m conntrack --ctorigdst E.E.E.252 -m policy --dir out --pol none -j CONFIRMED
    -A AUTO_FORWARD -d I.I.I.254/32 -i eth0 -o eth1 -p tcp -m tcp --sport 1:65535 --dport 3074 -m conntrack --ctorigdst E.E.E.252 -m policy --dir out --pol none -j CONFIRMED

    After:

    -A AUTO_FORWARD -d I.I.I.254/32 -i eth0 -p udp -m udp --sport 1:65535 --dport 3074 -m conntrack --ctorigdst E.E.E.252 -m policy --dir in --pol none -j CONFIRMED
    -A AUTO_FORWARD -d I.I.I.254/32 -i eth0 -p tcp -m tcp --sport 1:65535 --dport 3074 -m conntrack --ctorigdst E.E.E.252 -m policy --dir in --pol none -j CONFIRMED



    Bob,

    Below is the output after I manually updated to 9.002-12.

    -A AUTO_FORWARD -d 192.168.1.254/32 -p udp -m udp --sport 1:65535 --dport 3074 -m conntrack --ctorigdst E.E.E.252 -j CONFIRMED
    -A AUTO_FORWARD -d 192.168.1.254/32 -p tcp -m tcp --sport 1:65535 --dport 3074 -m conntrack --ctorigdst E.E.E.252 -j CONFIRMED

    Notice something from my previous output in prior posts?  The direction parameter is gone.  Before it would say in or out depending upon how the rule was phrased/objects were bound.  As soon as I fired the 360 up it said Open.  We'll see how it goes.  I'll keep you updated.  Feel free to jump in the WebAdmin with the creds I PMd you though.  And I welcome constructive criticism for configurations outside of the NAT stuff too.

    Thanks again,

    Chris
  • 0
    Hi, do the XBOXes support SOCKS proxies?

    Barry
  • 0 in reply to BarryG
    Hi, do the XBOXes support SOCKS proxies?

    Barry


    Microsoft does not allow connecting through proxies on the 360 platform.  What do you think that would accomplish for me though?  Odd that you and Bob both mention SOCKS to me in the same day.

    Chris
  • 0
    If the client (xbox) supported SOCKS, you probably wouldn't need DNAT.

    But without client support, SOCKS is useless.

    Maybe time to break out some sniffers.

    Barry
  • 0 in reply to BarryG
    BarryG,

    It thrills me that you want to continue to help, but since updating to 9.002-12 manually I've had no problem with the aforementioned DNAT rules.  Everything is flowing through nicely now.  It looks like the way the Middleware enters them into iptables has changed and in my case for the better as they are now reliable.  Before they would work for a period of 12-24 hours and then cease to work until I restarted the mdw service.

    So, thanks again!  And I'll never turn down a suggestion if you any to throw my way.

    Chris
  • 0
    Good to hear; thanks for the update.

    Barry