Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 4251 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Unable to setup NAT rule

xp3000
Hi,

I'm trying to setup a NAT rule to allow our HQ to connect to the UTM9 firewall on external interface on our public ip and port 8787 and then forward this to an internal webserver running on port 8787.

i've attached a couple of screenshots to see what i'm doing wrong, also on our external interface we're getting a error in UTM GUI.


This thread was automatically locked due to age.
  • 0
    This is what's from the firewall log:

    2013:03:04-14:37:47 utm01 ulogd[7695]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth2" outitf="eth0" srcmac="44[:D]3:ca:5e:a:c0" dstmac="0:50:56:87:4b:31" srcip="81.138.158.189" dstip="172.16.32.102" proto="6" length="48" tos="0x00" prec="0x00" ttl="111" srcport="54305" dstport="8787" tcpflags="SYN"
  • 0
    Hi,

    did you double check all your host and service definitions? It sounds as if it doesn't recognize the traffic. Could you show those entries with screenshots?

    Source Definition should be a single host with IP 81.138.158.189.
    Make sure your service definition works on TCP Port 8787, maybe you set it to UDP?

    Another thing you could try is unchecking "automatic packet filter rule" and add one yourself. Make sure you use the internal IP address as the destination address in the Firewall.

    Cheers,
    Chris
  • 0 in reply to Krycek
    this is what the firewall is doing:

    18:04:18 Default DROP TCP 81.138.158.189:59921
    → 172.16.32.102:8787 [SYN] len=48 ttl=111  tos=0x00 srcmac=44[:D]3:ca:5e:a:c0 dstmac=0:50:56:87:4b:31

    I've got the following rule in the firewall:
    Sources: Our HQ IP
    Services: 1:65535 > 8787
    Destinations: Internal IP webserver

    why is the firewall still blocking this?
  • 0 in reply to xp3000
    Did you by chance set the definition to a fixed interface?

    It would be very helpful if you could show screenshots.
  • 0
    These rules show that you are using http as the service? I believe that's for testing purposes right?

    However I was talking about the definitions - the Setting of the "HQ IP" and the "servive". Just double click them.

    Sorry if I'm asking the obvious but the Firewall doesn't recognise the traffic which in almost all cases is because of a wrongly set rule/definition or a typo of some kind.
  • 0
    Hi,

    yes i'm using HTTP for testing as on the local network it displays the IIS7 logo, so i want that displayed across the internet from the public IP for testing.

    However i can't even get the IIS7 logo to be displayed 

    i'll get these images across now.
  • 0
    Looks correct so far. Still cannot see if the definitions are bound to any Interface - look under advanced. That's more or less the last idea I can come up with.
  • 0
    the only thing under advanced tab in NAT is Log initial packets which is unticked.