Portforwarding & Whitelisting

Hi, Marqito, and welcome to the User BB!

Which Proxy service are you planning on using?  What purpose will the UTM serve?

Cheers - Bob

Hi Bob

i just need a system, which routes traffic on port 3101 and 443 to the BlackBerry Servers as the source system is in the lan and the proxy is located in the dmz.

There are other firewalls whom are serving this service. We just have the ports 3101 and 443 to BlackBerry open and i'm able to connect with telnet.

I also have only one NIC, if that's is important.

Many thanks for your help,
Marc

Marc, 

I don't understand why you need the UTM.  It sounds like you already have the ability to direct traffic to the Blackberry servers.

If you have an internal server that you want to isolate "behind" a UTM that does firewalling, Intrusion Prevention and Anti-DoS, you will need two NICs.

Cheers - Bob

Hi Bob

thank you for your answer. the policy of our company is not allowing the traffic going directly, that's why i only need the ability to port forward the traffic. isn't there a possibility to just use this feature with a utm? or do i need another product from sophos?

many thanks,
Marc

Hi Bob

i'm sorry, i think i didn't understand you. We have Juniper Firewall's who will do the Firewall part in this scenario. We only need a system which can route the traffic in the DMZ.

Many thanks for your help,
Marc

Yes, you can use the free Essentials license to do that.  I still don't understand your topology though, Marc. 

Cheers - Bob

Sorry for any short responses.  Posted from my iPhone.

Hi Bob, even better :-). We are not able to manage the firewall's. As this is a temporary need from the blackberry enterprise server i need something very simple to implement and if i can use the free edition it's great.

I don't have any experience in configuring a setup like this. the bes server in the lan has the ip 10.30.227.26 and the proxy in the dmz has the ip 10.30.26.91, which means they aren't in the same vlan. I need to have access to the public ip 216.9.242.244 from the internal bes server. do i need to have 2 nic's or can i do it with only one nic for only this port forwarding?

also, i think i do have to test the communication with: telnet 10.30.26.91 3101, is that correct?

In the Proxy configuration i would configure a nat like following.

rule type: DNAT (Destination)
Matching Condition:
For traffic from: 10.30.227.26
Using service: 3101
Going to: 10.30.26.91
Action:
Change the destination to: 216.9.242.244
And the service to: empty
Automatic firewall rule: checked

With this settings configured on the NAT i'm not able to telnet the Blackberry IP. Perhaps you see a mistake in the configuration.

Thank you in advance for your help, Bob

Marc

If you're not seeing any indication of a block in the Firewall log, then there's a routing issue, maybe on the BES.  Is this a new BES?  What does it have configured for its default gateway?

Cheers - Bob

Hi Bob

i can see this line showed in white:

09:14:02 NAT rule #1 TCP 
10.30.227.26 : 37931 
 → 
10.30.26.91 : 3101 
 
[SYN] len=52 ttl=126 tos=0x02 srcmac=0:90:fb:23:c9:ac dstmac=0:50:56:87:79:b8 

But i can't tell, that the NAT is working. I can telnet another server in the same vlan without any problems.

Many thanks,
Marc

I don't understand why the BES is configured to talk to the Proxy instead of directly to 216.9.242.244.

I guess that the problem is that your UTM is forwarding the packets correctly, but that they are not allowed out by the Juniper.  Another possibility is that the Juniper is not masquerading the 10.30.227.0/24 subnet.  Another possibility is that the Juniper doesn't have a route for 10.30.227.0/24.

Cheers - Bob