Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 33 replies
  • Subscribers 2 subscribers
  • Views 55645 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM 9.1 cleanup

FormerMember
FormerMember
I'm looking to cleanup or check my rules I have set just to be sure things are running smooth.   

I've got a p2p client that currently is spamming the firewall pretty heavily.  Mostly what I see in the firewall log is source outside address udp's that are chosing the modem external address.

I'm under the assumption these are the addresses or connections on the p2p client looking for the outside in traffic return.   However, because these do not have a source inside address, what is the safe way of handling these without opening everything up?


This thread was automatically locked due to age.
Parents
  • 0
    I don't really understand any of your services with port 80, there should be no reason for them to be included in that group and to DNAT that traffic to TURBO. The port 80 services are to communicate with the trackers?  The web surfing group in Firewall rule 6 should allow that traffic out, may need to add a udp service to that group.

    If the NAT check is failing do you have any other DNAT rules? You mention the listening port is in a firewall rule, but I haven't seen the corresponding DNAT? 

    Anyways seems we are going in circles here let's focus on getting the NAT correct then move on to issues with the trackers. So I'll just post all the necessary rules you need to get it working.

    I'll use 6881 as an example (change for whatever your listening port is must be above 1024). Note:Internet and "ANY" can be use interchangeably for source and destination.

    Services:
    Bittorrent IN:
    Destination: 6881
    Source: 1:65535
    Type: TCP/UDP

    Bittorrent OUT:
    Destination: 1:65535
    Source: 6881

    (This rule is only neccessary for bittorrent traffic since the connection tracking doesn't automatically allow out the reply traffic)

    DNAT:
    Traffic Selector: Internet -> Bittorrent IN -> External Wan (Address)
    Destination: TURBO

    Firewall Rules:

    Bittorrent:
    Internet -> Bittorrent IN -> TURBO  (Or check Auto Firewall Rule in DNAT)

    TURBO -> Bittorrent OUT -> Internet

    Trackers:
    If a tracker is using a specific port such as 2222 (if tracker is on port 80 or 8080 there is a built in http service you can use)
    Create Service:
    Destination: 2222
    Source: 1:65535
    Type: TCP/UDP or TCP or UDP

    Firewall:
    TURBO -> 2222 -> Internet (or create a dns or host definition for the specific tracker)

    repeat for all trackers 

    OR

    create a firewall rule to allow services for your PC

    TURBO -> ANY -> Internet
Reply
  • 0
    I don't really understand any of your services with port 80, there should be no reason for them to be included in that group and to DNAT that traffic to TURBO. The port 80 services are to communicate with the trackers?  The web surfing group in Firewall rule 6 should allow that traffic out, may need to add a udp service to that group.

    If the NAT check is failing do you have any other DNAT rules? You mention the listening port is in a firewall rule, but I haven't seen the corresponding DNAT? 

    Anyways seems we are going in circles here let's focus on getting the NAT correct then move on to issues with the trackers. So I'll just post all the necessary rules you need to get it working.

    I'll use 6881 as an example (change for whatever your listening port is must be above 1024). Note:Internet and "ANY" can be use interchangeably for source and destination.

    Services:
    Bittorrent IN:
    Destination: 6881
    Source: 1:65535
    Type: TCP/UDP

    Bittorrent OUT:
    Destination: 1:65535
    Source: 6881

    (This rule is only neccessary for bittorrent traffic since the connection tracking doesn't automatically allow out the reply traffic)

    DNAT:
    Traffic Selector: Internet -> Bittorrent IN -> External Wan (Address)
    Destination: TURBO

    Firewall Rules:

    Bittorrent:
    Internet -> Bittorrent IN -> TURBO  (Or check Auto Firewall Rule in DNAT)

    TURBO -> Bittorrent OUT -> Internet

    Trackers:
    If a tracker is using a specific port such as 2222 (if tracker is on port 80 or 8080 there is a built in http service you can use)
    Create Service:
    Destination: 2222
    Source: 1:65535
    Type: TCP/UDP or TCP or UDP

    Firewall:
    TURBO -> 2222 -> Internet (or create a dns or host definition for the specific tracker)

    repeat for all trackers 

    OR

    create a firewall rule to allow services for your PC

    TURBO -> ANY -> Internet
Children
  • FormerMember
    0 FormerMember in reply to dilandau
    I don't really understand any of your services with port 80, there should be no reason for them to be included in that group and to DNAT that traffic to TURBO. The port 80 services are to communicate with the trackers?  The web surfing group in Firewall rule 6 should allow that traffic out, may need to add a udp service to that group.

    If the NAT check is failing do you have any other DNAT rules? You mention the listening port is in a firewall rule, but I haven't seen the corresponding DNAT? 

    Anyways seems we are going in circles here let's focus on getting the NAT correct then move on to issues with the trackers. So I'll just post all the necessary rules you need to get it working.

    I'll use 6881 as an example (change for whatever your listening port is must be above 1024). Note:Internet and "ANY" can be use interchangeably for source and destination.

    Services:
    Bittorrent IN:
    Destination: 6881
    Source: 1:65535
    Type: TCP/UDP

    Bittorrent OUT:
    Destination: 1:65535
    Source: 6881

    (This rule is only neccessary for bittorrent traffic since the connection tracking doesn't automatically allow out the reply traffic)

    DNAT:
    Traffic Selector: Internet -> Bittorrent IN -> External Wan (Address)
    Destination: TURBO

    Firewall Rules:

    Bittorrent:
    Internet -> Bittorrent IN -> TURBO  (Or check Auto Firewall Rule in DNAT)

    TURBO -> Bittorrent OUT -> Internet

    Trackers:
    If a tracker is using a specific port such as 2222 (if tracker is on port 80 or 8080 there is a built in http service you can use)
    Create Service:
    Destination: 2222
    Source: 1:65535
    Type: TCP/UDP or TCP or UDP

    Firewall:
    TURBO -> 2222 -> Internet (or create a dns or host definition for the specific tracker)

    repeat for all trackers 

    OR

    create a firewall rule to allow services for your PC

    TURBO -> ANY -> Internet


    Regarding the port 80 traffic with the trackers question you mentioned earlier, this was not a requirement, just a grouping to lower the number of rules for keeping it simple to determine the issues first before separating traffic.

    Regarding the question for DNAT rules, yes I have 2 other DNAT rules that are currently OFF for troubleshooting this connection.

    Regarding the listening port in a DNAT, now you have me confused as I had it in there but took it out, as there was a prior statement from someone that stated the tracker port was not needed in the DNAT, only the port of the Vuze software.....  So which is it?  Is the port needed in the DNAT for the tracker, yes or no?

    From your list I have added the following:

    ------------------------

    Services:
    Bittorrent IN:
    Destination: 6881
    Source: 1:65535
    Type: TCP/UDP

    Bittorrent OUT:
    Destination: 1:65535
    Source: 6881

    (This rule is only neccessary for bittorrent traffic since the connection tracking doesn't automatically allow out the reply traffic)

    DNAT:
    Traffic Selector: Internet -> Bittorrent IN -> External Wan (Address)
    Destination: TURBO

    Firewall Rules:

    Bittorrent:
    Internet -> Bittorrent IN -> TURBO  (Or check Auto Firewall Rule in DNAT)

    TURBO -> Bittorrent OUT -> Internet

    create a firewall rule to allow services for your PC

    TURBO -> ANY -> Internet

    -----------

    Per your recommendation after adding the above I tried disabling:

    Bittorrent OUT:
    Destination: 1:65535
    Source: 6881

    Since my port is 80 for Vuze, to let the Webservice rule take that, however for whatever reason the system started dropping packets all over the place when I did so.   So I reenabled the rule for now.   And yes, the webservice rule has tcp 80 and udp 80 in it.

    Currently, after the above reenable, all of my downloads are showing NAT error.   The live log for the firewall is still showing the DNAT rule 1 in grey, aside from regular green traffic and the intermittent red drops in the live log.

    After making the changes, I cleared the firewall report log.   I have attached the traffic after that point for review if needed.
    Firewall log after changes.zip