Firewall, NAT, or Applicatio​n Control? Which rule rules them all?

It really depends on exactly what you're trying to do, methodology can be different based on circumstances.  There is no always BEST method for everything.  Here's a few tips to get you started:

-Application Control Rules are only for Blocking
-If the service you want needs inbound traffic allowed, that will be done with a DNAT.
-NAT rules need firewall rules to function, hence the "automatic firewall rule" checkbox.
-There's multiple existing threads for each of the services you list above.  Use those and work on getting things working right for each service one at a time.

Great, that helps!  I am not wanting to block any of these applications; on the contrary, I want them to have access in and out of the network.  I am VERY new to all this.  I just installed UTM and am now slowly working through it.  

Thank You

No luck.  I am trying to get transmission (torrent) to work.  Here are my screenshots.  I set up a NAT rule as follows:

matching conditions:
For traffic from:  any
Using Service:  just added port 51413
Going in:  external WAN address
Destination:  192.168.1.116

Then, I set up the firewall (this is where I think I am wrong)

Source:  any
Service:  just added port 51413
Destination:  any

My logs look like a crime scene!  Lots of red!  Not sure what that means.  The two green lines relate to this rule (192.168.1.116).  Not sure what the numbers behind the IP address mean 53151 and 53762?

Curious about using proxy, as it appears available for this application (transmission).  Sorry Kyle I couldn't post this to you successfully.


http://imageshack.com/a/img673/5836/CqoSEe.png  transmission application

http://imageshack.com/a/img911/5300/r4j0Kz.png  logs

http://imageshack.com/a/img537/2050/IpqINW.png  NAT rule

http://imageshack.com/a/img631/6905/JgS2PN.png  Firewall rule

Patrick, based on my instructions, you still need to perform a few tweaks.

Network Protection —> NAT —> NAT
Rule Type: DNAT (Destination)

For traffic from: Any
Using service: 1:65535-> Transmission/Deluge Port (51413)
Gong to: External (Address) Ensure this is a single IP that doesn't end in .255.

Change the destination to: Transmission/Deluge Host IP (192.168.1.116)
Automatic Firewall rule should be checked (enabled)
Log initial packets (I enable this for good measure)

It seems like you're using a Range for the Service. It shouldn't matter, however, I would clean that up so you see 1:65535->51413 instead of 1:65535->51413-51413. It isn't clear in your Screenshots, however, ensure the External WAN Address is the one that just reports your External IP. Not the Broadcast (which is likely .255) and not the Network (which may be /20).

Network Protection —> Firewall —> Rules
You’ll need to allow outgoing ports from the Transmission/Deluge Host IP to Any, such that the outgoing ports that your Application utilizes can be send out. Some Applications will allow you to choose a range, however, for simplicity, let’s just use Transmission/Deluge Host IP —> Any —> Any to start and you can lock it down after you see it working (if you choose).

Lastly, ensure your Transmission/Deluge Host itself doesn’t have its own firewall that prevents incoming or outgoing ports.

As for the GUI, which I believe is port 9091 by default, should be accessible from your Internal Network once enabled. It is not necessary to expose that to the world via a NAT Rule unless you want to be able to access it remotely. That being said, in lieu of that, I would recommend you opt into using a VPN, which Sophos supports.

This I believe is what was missed. You're using the NAT Service as the Service in this Firewall Rule, and that's a mistake. That's already handled when you choose Automatic Firewall Rule, however, it's not enough. You're only allowing your Host @ 192.168.1.116 External Access for Port 51413. For Firewall, create a Rule that emulates the following: 192.168.1.116 --> Any --> Any
As I mentioned earlier, some Torrent Applications will allow you to set an outgoing port range, with which you can then create a Service to use in place of the Any Service (the one in the middle). You'll get various suggestions ranging from people who want to lock down every unused outgoing port per host versus those who simply create one Firewall Rule; Any --> Any --> Any, as well as plenty middle ground approaches. Everyone has a different perspective for their security blanket.

Let me know how this works out for you and please include screenshots of your final settings. Good luck!

versus those who simply create one Firewall Rule; Any --> Any --> Any

Although, I'm not a huge fan of locking down per port for outbound traffic, I'm an even bigger proponent of not using Any for source or destination whenever possible.

I would do Internal (Network) --> Any --> Internet IPv4 as a replacement for the example given.

Scott is right. Good information and nice catch [:D]

It likely isn't an issue in your case, Patrick, since you only have one External Network, however, for your own edification, more complex Networks may have many different traffic routes (more than one Internal as well) and you wouldn't want to over-expose or over-permit unnecessary traffic.

Cheers,
Kyle

Wow, that worked like a charm.  Thank you both very very much.  This starts the process for me.  I have plenty of other devices to set rules for, but feeling much more confident now.  It's funny how one little victory is enough to change your whole outlook.  I was just so overwhelmed with all the settings.  Again, much appreciated.

Cheers,

Patrick

Quite happy to assist. Glad everything went well!

Please don't hesitate to ask if you run into another wall [:)]

Cheers,
Kyle

Just wanted to clarify somethings guys.  Again, I realize this is child's play for most on this forum, but for the UTM challenged, it is a bit overwhelming.  So, my understanding is that if I only need inbound (internet to my network)access for an application, I set up a NAT rule.  I used the following:

From:  ANY
Service: port of my application
Going to:  External WAN
Change destination:  IP of my application

This essentially is telling my UTM to allow access from the WWW (or from : ANY), to the service (or my application's port), going through a physical PIC that is called External WAN.  And, by changing the destination of the info coming in, I am restricting it to only the application with the IP address I set here.  Checking the automatic firewall box creates an exception in the firewall to allow this information through from the WWW to my application.  So, the first part tells my UTM where I want a pipe placed to allow flow of info from the WWW to my application.  The second part (checking the automatic firewall box) tells my UTM to open the valve on this pipe.  No, I am not a plummer by trade, just trying to simplify the process.

Now, if my application needs to send information back out to the WWW, I need to create a rule in my firewall.  This is as follows:

source:  internal network
service:  ANY
destination:  internet IPV4

By doing that, I appears that I am allowing all applications on my network the ability to send information out to the WWW.  Kyle suggested the idea of having only my desired application (by inserting the IP address in source) have outbound connectivity.  I like that idea as well, but when I do that, my application stops working.  

source:  192.168.1.116
service:  ANY
destination:  internet IPV4

So, two questions:  Am I understanding this process correctly?  And secondly, why does my application not successfully function when I try Kyle's suggestion of setting my source to the host IP address in the firewall settings?

http://imageshack.com/a/img901/2335/pJE7uk.png
http://imageshack.com/a/img673/1778/aQn8CO.png
http://imageshack.com/a/img673/1053/3orX4a.png
http://imageshack.com/a/img633/4118/IxeDVF.png

when I do that, my application stops working.

Patrick, this might be because of #3 in Rulz.   Check #1 to confirm.

Yes, you're understanding correctly, and I like the plumbing explanation - very creative and very clear.

Cheers - Bob