Firewall, NAT, or Applicatio​n Control? Which rule rules them all?

No luck.  I am trying to get transmission (torrent) to work.  Here are my screenshots.  I set up a NAT rule as follows:

matching conditions:
For traffic from:  any
Using Service:  just added port 51413
Going in:  external WAN address
Destination:  192.168.1.116

Then, I set up the firewall (this is where I think I am wrong)

Source:  any
Service:  just added port 51413
Destination:  any

My logs look like a crime scene!  Lots of red!  Not sure what that means.  The two green lines relate to this rule (192.168.1.116).  Not sure what the numbers behind the IP address mean 53151 and 53762?

Curious about using proxy, as it appears available for this application (transmission).  Sorry Kyle I couldn't post this to you successfully.


http://imageshack.com/a/img673/5836/CqoSEe.png  transmission application

http://imageshack.com/a/img911/5300/r4j0Kz.png  logs

http://imageshack.com/a/img537/2050/IpqINW.png  NAT rule

http://imageshack.com/a/img631/6905/JgS2PN.png  Firewall rule

No luck.  I am trying to get transmission (torrent) to work.  Here are my screenshots.  I set up a NAT rule as follows:

matching conditions:
For traffic from:  any
Using Service:  just added port 51413
Going in:  external WAN address
Destination:  192.168.1.116

Then, I set up the firewall (this is where I think I am wrong)

Source:  any
Service:  just added port 51413
Destination:  any

My logs look like a crime scene!  Lots of red!  Not sure what that means.  The two green lines relate to this rule (192.168.1.116).  Not sure what the numbers behind the IP address mean 53151 and 53762?

Curious about using proxy, as it appears available for this application (transmission).  Sorry Kyle I couldn't post this to you successfully.


http://imageshack.com/a/img673/5836/CqoSEe.png  transmission application

http://imageshack.com/a/img911/5300/r4j0Kz.png  logs

http://imageshack.com/a/img537/2050/IpqINW.png  NAT rule

http://imageshack.com/a/img631/6905/JgS2PN.png  Firewall rule

Patrick, based on my instructions, you still need to perform a few tweaks.

Network Protection —> NAT —> NAT
Rule Type: DNAT (Destination)

For traffic from: Any
Using service: 1:65535-> Transmission/Deluge Port (51413)
Gong to: External (Address) Ensure this is a single IP that doesn't end in .255.

Change the destination to: Transmission/Deluge Host IP (192.168.1.116)
Automatic Firewall rule should be checked (enabled)
Log initial packets (I enable this for good measure)

It seems like you're using a Range for the Service. It shouldn't matter, however, I would clean that up so you see 1:65535->51413 instead of 1:65535->51413-51413. It isn't clear in your Screenshots, however, ensure the External WAN Address is the one that just reports your External IP. Not the Broadcast (which is likely .255) and not the Network (which may be /20).

Network Protection —> Firewall —> Rules
You’ll need to allow outgoing ports from the Transmission/Deluge Host IP to Any, such that the outgoing ports that your Application utilizes can be send out. Some Applications will allow you to choose a range, however, for simplicity, let’s just use Transmission/Deluge Host IP —> Any —> Any to start and you can lock it down after you see it working (if you choose).

Lastly, ensure your Transmission/Deluge Host itself doesn’t have its own firewall that prevents incoming or outgoing ports.

As for the GUI, which I believe is port 9091 by default, should be accessible from your Internal Network once enabled. It is not necessary to expose that to the world via a NAT Rule unless you want to be able to access it remotely. That being said, in lieu of that, I would recommend you opt into using a VPN, which Sophos supports.

This I believe is what was missed. You're using the NAT Service as the Service in this Firewall Rule, and that's a mistake. That's already handled when you choose Automatic Firewall Rule, however, it's not enough. You're only allowing your Host @ 192.168.1.116 External Access for Port 51413. For Firewall, create a Rule that emulates the following: 192.168.1.116 --> Any --> Any
As I mentioned earlier, some Torrent Applications will allow you to set an outgoing port range, with which you can then create a Service to use in place of the Any Service (the one in the middle). You'll get various suggestions ranging from people who want to lock down every unused outgoing port per host versus those who simply create one Firewall Rule; Any --> Any --> Any, as well as plenty middle ground approaches. Everyone has a different perspective for their security blanket.

Let me know how this works out for you and please include screenshots of your final settings. Good luck!

Hello, I was able to use this advice below, and allowed deluge to pass through to my torrent client.  I want to know though how do you do this to all internal clients?  Meaning, allow all desktops at home to use deluge, and not just 1 unit to be able to use deluge?

Thanks

Patrick, based on my instructions, you still need to perform a few tweaks.

Network Protection —> NAT —> NAT
Rule Type: DNAT (Destination)

For traffic from: Any
Using service: 1:65535-> Transmission/Deluge Port (51413)
Gong to: External (Address) Ensure this is a single IP that doesn't end in .255.

Change the destination to: Transmission/Deluge Host IP (192.168.1.116)
Automatic Firewall rule should be checked (enabled)
Log initial packets (I enable this for good measure)

It seems like you're using a Range for the Service. It shouldn't matter, however, I would clean that up so you see 1:65535->51413 instead of 1:65535->51413-51413. It isn't clear in your Screenshots, however, ensure the External WAN Address is the one that just reports your External IP. Not the Broadcast (which is likely .255) and not the Network (which may be /20).

Network Protection —> Firewall —> Rules
You’ll need to allow outgoing ports from the Transmission/Deluge Host IP to Any, such that the outgoing ports that your Application utilizes can be send out. Some Applications will allow you to choose a range, however, for simplicity, let’s just use Transmission/Deluge Host IP —> Any —> Any to start and you can lock it down after you see it working (if you choose).

Lastly, ensure your Transmission/Deluge Host itself doesn’t have its own firewall that prevents incoming or outgoing ports.

As for the GUI, which I believe is port 9091 by default, should be accessible from your Internal Network once enabled. It is not necessary to expose that to the world via a NAT Rule unless you want to be able to access it remotely. That being said, in lieu of that, I would recommend you opt into using a VPN, which Sophos supports.

This I believe is what was missed. You're using the NAT Service as the Service in this Firewall Rule, and that's a mistake. That's already handled when you choose Automatic Firewall Rule, however, it's not enough. You're only allowing your Host @ 192.168.1.116 External Access for Port 51413. For Firewall, create a Rule that emulates the following: 192.168.1.116 --> Any --> Any
As I mentioned earlier, some Torrent Applications will allow you to set an outgoing port range, with which you can then create a Service to use in place of the Any Service (the one in the middle). You'll get various suggestions ranging from people who want to lock down every unused outgoing port per host versus those who simply create one Firewall Rule; Any --> Any --> Any, as well as plenty middle ground approaches. Everyone has a different perspective for their security blanket.

Let me know how this works out for you and please include screenshots of your final settings. Good luck!