Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 4351 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Can't forward port to internal system.

Simon Shaw
I may be doing something stupid, but for the life of me I can't seem to get a port to forward to an internal server.

We are running a service on TCP 9876 internally on a small Linux server.
If I NMAP the box, the port shows as open internally.

I set an additional IP on firewall external interface, and enabled.

Then, created a NAT rule, with auto firewall rule to forward to the internal server.

All looks fine, but external scans show the port as closed.
Any ideas?  I've forwarded ports for YEARS and can't decide where to look next.

I suspect the up2date applied last week (9.206) broke it as it was working OK prior to this.


This thread was automatically locked due to age.
  • 0
    - Check your custom service definition to make certain that you didn't accidentally select UDP or put 9876 into source port instead of destination port.

    - Check the NAT rule that it is indeed set as DNAT and the "And the service to" is blank.

    - Have you seen the traffic in TCPDump?  Related, do you have "Log Initial Packets" enabled and do you see the traffic in the firewall log?
  • 0
    I've checked all of that except step 3 as I can't actually easily test this, (its a security app and I don't have the security end point).

    So, instead I am just looking to see if the port is open or not and despite using numerous tools, they all say its closed.

    It WAS working OK before applying the 9.206 update.  Unfortunately I have no precise idea when the service stopped so I cannot say it WAS the update or not for 100%

    EDIT: PS You are welcome to login an look or participate in a Teamviewer session.
  • 0
    It could be the update, because I also had similar problem on a client site (up2date from 9.201 to 9.206). The same DNAT rule that worked for months just stopped working and Firewall logs showed blocked packets.

    In my case solution was to replace InternetIPv4 to ANY object in "For traffic from:" field (found by accident..[:)].
  • 0
    Update - if I change the port from 9876 to say, 443, (on the firewall) it works fine.

    Definitely a bug I think.  I tried a bunch of different definitions, some work, some don't...

    So...

    Firewall: NAT 9876 -> Internal server on 9876 fails.
    but
    Firewall: NAT 443 -> (change redirect port to 9876) -> Internal server on 9876 works..
  • 0
    Vilic and Simon, can you post a relevant block line from your firewall log file?

    Cheers - Bob
  • 0
    vilic seems to believe it could be caused by 9.206, which is plausible.  9.207 was just released as GA today, are yo able to give that a try?
  • 0
    I updated last night, still no good.
    Sigh, I'll get Bob to login and have a look.  Not even seeing packet drop in live log.
  • 0
    Simon is moving his business back to MediaSoft, so I did login. [;)]

    I did a tcpdump src MyIP && dst HisIP that demonstrated that Simon was close to the answer in #5 above.  In fact, port 9876 is blocked before it reaches him, probably because of attacks that haven't been a problem for four years.

    Cheers - Bob
  • 0
    Well... ISP is stating they do not block any ports...
  • 0
    After the tcpdump, I did trace routes that showed port 443 packets passed the last-hop router to reach his IP, but that port 9876 traffic stopped at the last-hop router.

    Cheers - Bob