Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 2 subscribers
  • Views 2538 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Asphault 8 with UTM 9

ryanhebb
Hey guys, I'm new to firewall administration and to the UTM, I'm a quick study and reasonably familiar with the principals of secure networking.
I'm running version:
Firmware version:  9.206-35 
Pattern version:  67565 

The UTM is my gateway to the internet and most things are working great, wife is a big fan of the web filtering options especially with our oldest almost 11 years old. 
We have a number of apple devices and enjoy playing games on them, in particular I'm having problems with Asphault 8 and the online multiplayer connectivity.
I'd like to setup a firewall rule so that any device running the game can connect fully. Here are the firewall logs for the network drops while running the game, I've dropped them into a pivot table to help with data analysis, let me know if raw logs would be more helpful.  My test IP is 192.168.0.37 but as I said before my final rules I'd like to be compatible with whatever enpoint is trying to play the game.

Computer running the game connecting to the belo..w servers
IP.......................Min of src port.....Max of src port..Min of dest port....Max of dest port
198.136.44.135..54003...............54078.................36787...................50046
198.136.44.13....54059...............54074.................33101...................52385
198.136.44.139..54012...............54067.................43813...................47814
198.136.44.140..53979...............54043.................54743...................57998
198.136.44.205..54086...............54086.................45134...................45134
198.136.44.206..54031...............54063.................45619...................59637
198.136.44.207..54022...............54051.................54222...................54222
198.136.44.211..54002...............54058.................38289...................55856
198.136.44.213..54019...............54082.................35962...................50081
198.136.44.218..54021...............54066.................33143...................50365
198.136.44.219..54050...............54062.................38317...................41374
198.136.44.220..54010...............54085.................41617...................59541
198.136.44.95....53997...............54073.................38285...................60220
198.136.44.97....54038...............54038.................39172...................39172
198.136.44.99....53993...............54077.................41868...................48864

Below servers to the computer running the game
IP.....................Min of src port..Max of src port...Min of dest port....Max of dest port
173.252.101.48..443...............443...................53931...................53931
208.71.187.20....80................80.....................53934 ...................53934
208.71.187.21....80................80.....................53915 ...................53915
208.71.187.80....80................80.....................53928 ...................53995

I believe I need to know what service definitions I need to create, and what firewall rule I should create.
Obviously I'd like to maintain as much security as possible while enabling the game functionality.


This thread was automatically locked due to age.
Parents
  • 0
    Whatever rules that you will need are based on the destination ports used (TCP or UDP?), what system is initiating the connection (if all connections are initiated by your client systems, then outbound firewall rules and web filtering exceptions could be used, but if the game servers are initiating some connections, then you would need to put in place DNATs as well), and what system on the UTM that connection is using (for example, if some game information is being requested via ports 80 & 443 by your client systems, the Web Proxy would be coming into play).

    Your first step is to contact the game manufacturers support to request their recommendations for firewall configuration (list of all port ranges used by the game (need to know TCP or UDP), if port forwarding needs to be configured [port forwarding is home router speak for DNAT], and IP range of all of their servers needed). Just because in one test connection 198.136.44.211 and 198.136.44.213 are used and we make a rule for those IPs, it won't do any good if the next time it uses 198.136.44.212.  [:)]  Looks like 198.136.44.0 and  208.71.187.0 are netblocks used by Gameloft.  173.252.101.48 is in a block owned by Facebook.


    Are your outbound firewall rules very specific?  Most home users are best served, for simplicity of administration, with an outbound rule like:
    source:  Internal (Network)
    service:  Any
    destinations:  Internet IPv4 (and 6 if that is an option for you).

    Games, unlike most business applications, tend to use vast ranges of ports and IPs, so the outbound rule above will save you a ton of nightmarish rule making down the road.

    If utilized, you may want to check other UTM feature logs such as IPS, Application Control, and Country Blocking to see if they are coming into play here as well.

    The pivot tables/spreadsheet data is pretty, but best left to use with financial data.  It just has extraneous data and is missing important information needed.  In most cases, copy/paste from the logs (obfuscated), is infinitely more helpful in the networking world.  In many cases, when somebody posts here for help, the first response will be a request for the logs.
Reply
  • 0
    Whatever rules that you will need are based on the destination ports used (TCP or UDP?), what system is initiating the connection (if all connections are initiated by your client systems, then outbound firewall rules and web filtering exceptions could be used, but if the game servers are initiating some connections, then you would need to put in place DNATs as well), and what system on the UTM that connection is using (for example, if some game information is being requested via ports 80 & 443 by your client systems, the Web Proxy would be coming into play).

    Your first step is to contact the game manufacturers support to request their recommendations for firewall configuration (list of all port ranges used by the game (need to know TCP or UDP), if port forwarding needs to be configured [port forwarding is home router speak for DNAT], and IP range of all of their servers needed). Just because in one test connection 198.136.44.211 and 198.136.44.213 are used and we make a rule for those IPs, it won't do any good if the next time it uses 198.136.44.212.  [:)]  Looks like 198.136.44.0 and  208.71.187.0 are netblocks used by Gameloft.  173.252.101.48 is in a block owned by Facebook.


    Are your outbound firewall rules very specific?  Most home users are best served, for simplicity of administration, with an outbound rule like:
    source:  Internal (Network)
    service:  Any
    destinations:  Internet IPv4 (and 6 if that is an option for you).

    Games, unlike most business applications, tend to use vast ranges of ports and IPs, so the outbound rule above will save you a ton of nightmarish rule making down the road.

    If utilized, you may want to check other UTM feature logs such as IPS, Application Control, and Country Blocking to see if they are coming into play here as well.

    The pivot tables/spreadsheet data is pretty, but best left to use with financial data.  It just has extraneous data and is missing important information needed.  In most cases, copy/paste from the logs (obfuscated), is infinitely more helpful in the networking world.  In many cases, when somebody posts here for help, the first response will be a request for the logs.
Children
No Data