Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 24 replies
  • Subscribers 2 subscribers
  • Views 21128 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Please help me understand Portforwarding- Im lost!

noddy184
[FONT="Arial"]Hi, home user of UTM 9 and having a lot of trouble understanding how to port forward.  (I just want to do Simple port forwarding like you would on a domestic $50 router!)

I think the problem is I'm not sure which direction traffic is going in my situation, i'm just an amateur so I have a lot of gaps in my knowledge.

MY SETUP -
Single Wan & Single Lan.
The WAN is a PPPoE connection (ADSL)
The LAN has an ip of 192.168.1.1

DESIRED OUTCOME:
I want to port forward the ports 5060 and 9000 to 9014 to a PC on my internal lan with an IP address of 192.168.1.2

WHY:
It is running 3cx server (a VOIP telephone system) and in order for it to work, those ports must be forwarded/unblocked by the firewall so it can communicate with the VOIP provider)

QUESTION 1:
I dont understand the direction the data is going, and I am thus unsure what to key into the fields under 'New Nat rule', could anyone break this down for me?

ie Is the data going from :
Internet (voip provider) -> WAN -> LAN 
or
192.168.1.2 (PC with VOIP SERVER) -> WAN -> Internet (Voip Provider)

QUESTION 2:
Can anyone advise the settings for these fields: (under new nat rule)
1. For Traffic From:
2. Using service: (I think the values would be 5060 & 9000:9014?)
3. Going to:

and
1. change the destination to: (I assume it is host 192.168.1.2?) 

QUESTION 3:
Lastly, is creating a new nat rule the only thing i have to do to get this to work for me, or do i have to add firewall rules too under Network Protection -> Firewall?

[:S]

Thanks everyone!![/FONT]


This thread was automatically locked due to age.
  • 0
    Hi there. Not a problem. Traffic will come "from " any to a destination of the external interface (address). On service   Or group of services of your choosing. 

    From there. Change the destination to the internal IP you wish to land on. No need to change the service, and enable the auto firewall rule (or leave it off and go make it yourself.). Firewall rules should have any as the source and the ultimate destination (ie the internal server) along with the services you want to allow if you don't use the auto rule option.
  • 0
    QUESTION 1:
    I dont understand the direction the data is going, and I am thus unsure what to key into the fields under 'New Nat rule', could anyone break this down for me?

    ie Is the data going from :
    Internet (voip provider) -> WAN -> LAN 
    or
    192.168.1.2 (PC with VOIP SERVER) -> WAN -> Internet (Voip Provider)

    internet(VOIP) > WAN > LAN is incoming - uses DNAT for port forwarding
    192.168.1.2 > WAN > Internet - outgoing uses regular NAT(will work without issues) - correct me if i am wrong, please

    source: any would work
    service: ports you need to forward
    destination: external interface of UTM
    change to: destination (in this case, the VOIP server)
  • 0 in reply to FrankBarmentlo
    To clearify the service definitions:

    Port 5060 is already defined as service "SIP", so you can use this object.
    For the ports 9000 - 9014 you create a new service definition with source port 1:65355 and destination port 9000:9014.
  • 0
    Be sure to use the "External (Address)" object created by WebAdmin in 'Going to'.

    Like Frank and Angelo said, you can use "Any" in 'From', but you could limit that to the IP of your VoIP provider.  I suspect that you would want a 'DNS Group' definition using an FQDN that resolves to several IPs used by your provider.

    Add the two services in scorpionking's post to a Services Group and put that group into 'Using service:'.  Be sure to leave 'And the service to:' field empty.

    Cheers - Bob
  • 0 in reply to BAlfson
    Ok thanks guys for all your advice, i have gone through and done those things but the firewall checker on my voip program, and an outside port checker on the internet is still showing these ports as blocked.

    I've put screenshots of my workings below, where have I gone wrong?

    First screenshot shows me adding my computer 192.168.1.2 under new network definition.  (under advance am i meant to bind it to the internal interface?)

    Second screenshot shows the new entry for udp ports 9000-9014.

    Third screenshot is my Nat settings.

    Note also that under the firewall rules tab, there are no new rules added, other than ones "added by wizard".  Should I be seeing some new rules added there automatically because I check add automatic firewall rules when adding the new nat rules?

    thanks!
  • 0
    No that looks all correct. 


    1) did you already setup a masq rule so the internal network is natted to the external address and cal talk to the Internet?

    2) 192.168.1.2 is using the internal ip of the UTM as its gateway right?

    3) you didn't make any static or policy routes did you? (Shouldn't have)
  • 0 in reply to AngeloC
    Also, i checked the firewall log

    You can see how it is blocking port 5060 and 9000 as i test them with the port checker website on the net...

    (refer attached screenshot)
  • 0 in reply to AngeloC
    No that looks all correct. 


    1) did you already setup a masq rule so the internal network is natted to the external address and cal talk to the Internet?

    2) 192.168.1.2 is using the internal ip of the UTM as its gateway right?

    3) you didn't make any static or policy routes did you? (Shouldn't have)




    1. 
    Sorry I'm not sure what a masq rule is, pls note this is a fresh install of Sophos UTM so whatever the default settings are , will be what mine are.  Where could i look up this information and what am I looking for?

    2. 
    Yes. 192.168.1.1 is the internal green IP address of Sophos UTM interface where as 192.168.1.2 is a PC on the LAN that has the VOIP software 3CX which I am using.  I'm trying to port forward to this particular pc.

    3.  
    not that I know of.
  • 0 in reply to AngeloC
    No that looks all correct. 


    1) did you already setup a masq rule so the internal network is natted to the external address and cal talk to the Internet?



    This is the masq rules , just the one.  Internet is confirmed as accessible from 192.168.1.2 
  • 0
    Also, few things , just realised you cant run a UDP port checker on internet. Sorry my bad.

    Secondly, I put in a new nat rule for vuze and utorrent.
    Firewall log shows blocking both.  "default drop" i assume = blocking.

    Then i ran my firewall tester on 3CX, the firewall log shows the ports 5060 getting blocked.

    What have i done wrong!?