Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 33 replies
  • Subscribers 2 subscribers
  • Views 55645 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UTM 9.1 cleanup

FormerMember
FormerMember
I'm looking to cleanup or check my rules I have set just to be sure things are running smooth.   

I've got a p2p client that currently is spamming the firewall pretty heavily.  Mostly what I see in the firewall log is source outside address udp's that are chosing the modem external address.

I'm under the assumption these are the addresses or connections on the p2p client looking for the outside in traffic return.   However, because these do not have a source inside address, what is the safe way of handling these without opening everything up?


This thread was automatically locked due to age.
  • 0
    Hi, those are other p2p clients trying to talk to your client, but you do not have the appropriate configuration on your firewall to allow them in.

    Please post which client it is.

    There is lots of info in these forums for BitTorrent, btw.

    Barry
  • FormerMember
    0 FormerMember in reply to BarryG
    Client is Vuze. 

    I'm not using the default port that the software has.

    The two udp styles I'm seeing thus far is in the firewall log:

    udp  pc's interior ip address: port -> ip address (not modem): port (pretty much full spectrum of port on destination)

    udp  ip address (not modem)[:P]ort -> modem ip address: port (full spectrum of port on source)

    I've got one tcp that very rarely shows up aside from the flood of udp above.

    I'm guessing I need firewall rules and nat's for both, it's just the ip addresses (not the modem address) and the full spectrum ports these are showing up as is making it difficult to figure out a rule that will work without opening everything up (something i don't want to do, obviously).
  • FormerMember
    0 FormerMember
    I've following examples in this forum and gotten traffic to pass to where the client is uploading and downloading.

    However, if I'm understanding this correctly from the other posts for the Vuze that I have, if I configure the client on port 80, the reply should be on port 80.

    But what I'm seeing is something like this:

    VuzePC:80 -> external ip:random port
    external ip:random port -> modem ip:80

    Is this even correct?  Or am I allowing traffic that should not be?
  • 0
    Hi,

    Yes, that is all correct.

    You need 
    a. Service Definitions
    b. a DNAT for the inbound traffic.

    Service Def's:
    BT Inbound: UDP, source port: 1-65535, dest port: 80
    BT Outbound: UDP, source port:80, dest port: 1-65535

    Then create a DNAT using the Inbound service, with
    Source: ANY
    Dest: WAN IP ADDRESS
    Service: BT Inbound
    Change Dest to: your Vuze PC's internal IP
    Automatic Firewall Rule: CHECKED

    Barry
  • FormerMember
    0 FormerMember in reply to BarryG
    Mine is different than that, unless I misunderstood your statement.

    Mine ended up being 3 firewall rules and 1 NAT.

    Firewall Rules in question (Allow):
    Any source 1:65535 dest 80 tcp  (software port)   to external wan address
                    1:65535 dest 2710 tcp (torrent tracker)
                    1:65535 dest 80 udp (udp traffic)

    pc internal ip source 1:65535 tcp dest 80 to Any
                                1:65535 tcp dest 2710 
                                80 tcp dest 1:65535 

    Any source 1:65535 tcp dest 80 to pc internal ip
                    1:65535 tcp dest 2710
                    1:65535 udp dest 80

    DNAT:
    Any source 1:65535 tcp dest 80 to pc internal ip translated to pc internal ip
                    1:65535 tcp dest 2710
                     1:65535 udp dest 80

    Forgot to mention that none of these are automatic, as the automatic keeps making random service messes in the system, without making the firewall rule.  This is on a clean install.
  • 0
    Any source 1:65535 dest 80 tcp (software port) to external wan address


    Hi, this is not right; the firewall rule destination for DNATs should always be your Internal server or PC.

    Can you post screenshots of everything, I'm not sure I'm reading your descriptions correctly.

    Barry
  • 0 in reply to FormerMember
    Forgot to mention that none of these are automatic, as the automatic keeps making random service messes in the system, without making the firewall rule.  This is on a clean install.


    The automatic firewall rules are there! By default they're just not shown. Above your firewall rules, you can change the dropdown box to list the automatically created fw rules...
  • 0
    Hi, landis, and welcome to the User BB!

    You can attach pictures, as Barry requested, by using the [Go Advanced] button below.  I'm lazy - I had a hard time following your notation in the above posts, so pictures will make things clearer. [;)]  Also, check #1 through #5 in Rulz.

    Cheers - Bob
  • FormerMember
    0 FormerMember in reply to BAlfson
    Rule #1: 

    Did check, hence this post.  IPS off, Application Control off, Firewall logs attached.

    Rule #2:

    DNATs I have, VPN off, Proxies off, Manual Routes is only 1, a internal router that has it's firewall off and is doing dhcp, Firewall Rules attached.


    Rule #3:

    Interface > has been used for all created rules.

    Rule #4:

    I have some confusion over this one, as what I have appears to be working.  Obviously it still may be incorrect, hence this post to check that I am thinking correctly.

    Rule #5:

     I don't believe I have a repeated service, as the NATs I only have 2, and the protocols (services) are grouped.

    Attached is the firewall log output, the overview of firewall rules (all rules & all rules2), All NAT rules, and the second firewall rule, as this reaches the 5 upload limit.
  • 0
    Your DNAT and Firewall rule 2 for "vuze IN" are incorrect.
    DNAT should be:
    traffic selector: ANY -> vuze IN -> External WAN (Address)
    change destination to: TURBO

    In Firewall rules delete rule 2 then rule 4 should allow the traffic in.