Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 7393 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Ports 135 139 and 445 cannot be NATed

kamicrazy
Hi,

I am running Sophos UTM 9.315-2

I have discovered that I cannot NAT ports 135 139 and 445 on the UTM.

I tested this by creating a NAT rule where Any source address on Any service is DNAT to an internal server.

I then manually created a firewall rule to allow Any source IP on Any service to this internal IP.

I turned on logging on both the NAT rule and the firewall rule.

The internal server does not have a host firewall.

If I try and telnet to the external IP on port 444 I get a connection refused message. This is expected as the host is not running anything on this port. On the UTM live logs it shows a grey NAT rule was logged and a green firewall rule logged.

If I then telnet to the external IP on port 446 I get the same connection refused message, again this is expected. On the UTM live logs it shows a grey NAT rule being logged and a green firewall rule logged.

If I then try to telnet to external IP on port 445 the telnet connection times out.
In the live logs no NAT rule gets logged and no firewall rule gets logged either. This means despite the host running a service on this port, no connection gets forwarded to the host by the UTM on this port.

I have tried this with various other ports. I have found ports 135 and 139 also exhibit this behaviour.

Have I found a bug with the software? Or is there something I need to turn off in the firewall in order to NAT those ports?

Deon


This thread was automatically locked due to age.
  • 0
    How is your UTM connected to the internet? Directly, or is there another router in front?
    Are you sure that your provider doesn't block those connections (some providers block smtp, NETBIOS, CIFS, etc., to "protect" their customers)?
  • 0
    Hi,

    The UTM is directly connected to the internet on a normal ethernet interface, static IP.

    I am 100% sure the provider isn't blocking it.

    To check my sanity I tested this on another Sophos UTM on another internet connection and I get the same results.
  • 0
    Well, my test says something different... [;)]

    I created a DNAT rule:
    Traffic from: Any
    Service: CIFS (TCP 445)
    Destination: WAN (Address)
    Change destination to: 
    and the service to: 
    Auto firewall rule: yes

    I can connect to my internal fileserver from an external host with "telnet  445".
    Firmware: 9.350-12
  • 0
    Your firmware is newer than mine.

    I have access to an Astaro V7 box. I created the same rule and it works there.

    My other boxes are all V9 9.315-2 and they all exhibit the same behaviour.

    The V7 box has the same uplink as one of the V9 boxes as well. So that definitely rules out ISP blocking.
  • 0
    What if you create an explicit DNAT rule for CIFS (TCP 445) on the v9 box instead of service "any"? Does that work?
    If not I suggest to open a ticket at Sophos (either through your reseller or directly, if you have premium support) as it seems to be a bug.
  • 0
    Hi, and welcome to the User BB!

    Check #3 through #5 in Rulz.  If you don't see something that helps you solve this, try #1 and then report back.

    Cheers - Bob