Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 27 replies
  • Subscribers 2 subscribers
  • Views 98697 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Firewall, NAT, or Applicatio​n Control? Which rule rules them all?

patricksull
Need a little help directing me in the right direction:

 

I have read several posts on different ways to deal with torrents, xbox live, minecraft servers, iclouds, etc.  What is the BEST way to allowing access for these applications?  Through firewall, NAT, or application control rules?

Cheers


This thread was automatically locked due to age.
  • 0
    Does #1 in Rulz give you any information?

    Cheers - Bob
  • 0
    Hello BAlfson, 

    Thanks for your immediate reply.  I didn't check.  I tried to revisit all settings once again, basically, turned on/off whatever can be turned on/off.  After a while, suddenly saw all my torrents downloading at full speed [:D]  I got so excited, and the rest didn't matter anymore hahaha

    Though I'm sure I'll encounter the same problem the next time I reinstall :-(
  • 0 in reply to jang430
    In a nutshell I just want to filter traffic to and from the web and keep my networked computers private and filtered like I did when I was using my old Dlink router. Can anyone tell me where to look or what to do in plain laymen's terms? This is how I have it setup now but it does not seem right, nor complete for that matter. I set up basic masquerading & for NAT I have:
    SNAT
    Traffic from any
    From Any Service
    Going to the External WAN

    Change Source to
    Internal Address
    Set Auto Firewall Rule.

    Any help you guys could give me would be really appreciated. I'm trying hard to get this on my own and not ask too many questions without doing some heavy reading first on my end. I am reading the Administrative Guide but it's blowing me away. I have to take it slow, I'm a total novice. If I can just get the NAT set up I think I can relax and officially make the shift from using a traditional router to the new Sophos UTM.
  • 0
    Hello All, another question related to this.  I noticed my downloaded torrents aren't seeding.  In Deluge, I'm using 51444 as my incoming.  Can I also use 51444 as my outgoing?  How shall I change my rule so that I can also seed torrents?
  • 0 in reply to jang430
    Deluge allows three options that you could choose from: Random, Range and Proxy.

    If you opt for Random, then the Deluge Host needs an outgoing allow Firewall Rule; e.g. Deluge --> Any --> Internet IPv4. 

    If you opt for Range, then you would do the same as with Random, however, replace Any with the appropriate range.

    Lastly, you could choose a SOCKS Proxy by enabling it within Network Protection --> Advanced --> SOCKS Proxy, enable authentication by adding a User Account and providing Deluge with those credentials.

    Cheers,
    Kyle
  • 0
    Thanks DaMaN841, I will give it a try.
  • 0 in reply to DaMaN841
    Hello, I was able to use this advice below, and allowed deluge to pass through to my torrent client.  I want to know though how do you do this to all internal clients?  Meaning, allow all desktops at home to use deluge, and not just 1 unit to be able to use deluge?

    Thanks

    Patrick, based on my instructions, you still need to perform a few tweaks.

    Network Protection —> NAT —> NAT
    Rule Type: DNAT (Destination)

    For traffic from: Any
    Using service: 1:65535-> Transmission/Deluge Port (51413)
    Gong to: External (Address) Ensure this is a single IP that doesn't end in .255.

    Change the destination to: Transmission/Deluge Host IP (192.168.1.116)
    Automatic Firewall rule should be checked (enabled)
    Log initial packets (I enable this for good measure)

    It seems like you're using a Range for the Service. It shouldn't matter, however, I would clean that up so you see 1:65535->51413 instead of 1:65535->51413-51413. It isn't clear in your Screenshots, however, ensure the External WAN Address is the one that just reports your External IP. Not the Broadcast (which is likely .255) and not the Network (which may be /20).

    Network Protection —> Firewall —> Rules
    You’ll need to allow outgoing ports from the Transmission/Deluge Host IP to Any, such that the outgoing ports that your Application utilizes can be send out. Some Applications will allow you to choose a range, however, for simplicity, let’s just use Transmission/Deluge Host IP —> Any —> Any to start and you can lock it down after you see it working (if you choose).

    Lastly, ensure your Transmission/Deluge Host itself doesn’t have its own firewall that prevents incoming or outgoing ports.

    As for the GUI, which I believe is port 9091 by default, should be accessible from your Internal Network once enabled. It is not necessary to expose that to the world via a NAT Rule unless you want to be able to access it remotely. That being said, in lieu of that, I would recommend you opt into using a VPN, which Sophos supports.

    This I believe is what was missed. You're using the NAT Service as the Service in this Firewall Rule, and that's a mistake. That's already handled when you choose Automatic Firewall Rule, however, it's not enough. You're only allowing your Host @ 192.168.1.116 External Access for Port 51413. For Firewall, create a Rule that emulates the following: 192.168.1.116 --> Any --> Any
    As I mentioned earlier, some Torrent Applications will allow you to set an outgoing port range, with which you can then create a Service to use in place of the Any Service (the one in the middle). You'll get various suggestions ranging from people who want to lock down every unused outgoing port per host versus those who simply create one Firewall Rule; Any --> Any --> Any, as well as plenty middle ground approaches. Everyone has a different perspective for their security blanket.

    Let me know how this works out for you and please include screenshots of your final settings. Good luck!