Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 2 subscribers
  • Views 34871 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Port forwarding isn't working anymore

Majer
Hi all,

I'm running an astaro UTM9/Firmware version: 9.004-33 and am having a problem since yesterday. Changes were adding SSL remote access for some smartphones which is perfectly working. But now I saw that my local webserver cannot be reached anymore from outside.

I have a single DNAT-Rule to forward extern port 5001 to my local web server like that:

Rule #1
Under Network Protection/NAT/NAT:
Rule Type: DNAT
Matching Condition
For Traffic from: Any
Going to: external
Using Service: 5001/TCP
Action
Change the destination to: local IP (sth. like 192.168.0.55)
and the service to: HTTP
Automatic Firewall rule: checked

There must be a side effect or something else which blocks that traffic. Adding a rule like this and enabling both of them works:

Rule #2
Under Network Protection/NAT/NAT:
Rule Type: DNAT
Matching Condition
For Traffic from: Any
Going to: external
Using Service: HTTP
Action
Change the destination to: local IP (sth. like 192.168.0.55)
Automatic Firewall rule: checked

So Rule #1 alone doesn't work (no access with external port 5001), but Rule #2 does (acces with standard HTTP-Port 80).

If I enable both rules access is possible with external port 5001 OR 80.

So where is the error?

Thanks for your help.


This thread was automatically locked due to age.
  • 0
    Guys, please [Go Advanced] below and attach a picture of the Edit of your non-working DNAT.  There are several potential configuration tricks.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    And here is my screenshot from "Network Protection" - "NAT" (FTP is port 21)

    FileZilla can login from remote, but then it hangs on LIST command. Timeout.

    Firewall log says: 
    Default DROP TCP 192.***.***.***:20
  • 0
    Rule #1:

    Whenever something seems strange, always check the Intrusion Prevention and Firewall logs.



    If that doesn't give an indication, you'll need to watch the traffic with Wireshark or tcpdump.  Any luck?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi, 
    iirc, for 'active' FTP, you need to DNAT BOTH ports 20 and 21.

    Passive FTP might work with just 21.

    Search these forums, there's some good information about FTP.

    Barry
  • 0
    Maybe I'm wrong but I never leave the destination service blank
    In my environment my DNAT failed twice, and here are the reasons 
    1: the ISP changed for 2 hours my ip 
    2: the destination machine turned on the firewall and not accepted requests on that port

    Only country blocking has more power then NAT rules
  • 0
    Olsi, you can put in a destination service if it's a single port. If it's a group or range, it doesn't work. Say you have a web server and you want to DNAT "Web Surfing" to it - the destination service must be left empty. 

    Cheers - Bob

    Sorry for any short responses!  Posted from my iPhone.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    this is new for me Bob thank you.
    But i think the best will be to mark the destination too. 
    Example: If I have to connect with 3 Remote Desktop servers, I just change the source port and Astaro will know where to forward that request 

    any tcp/3380 to external > to x.x.x.x tcp/3389 (RDP)
    because Windows will accept in one port for that service witch by default is 3389

    last thing and don't get me wrong, it is called DNAT (destination nat)
  • 0
    My problem is solved. Had to enable FTP Proxy.
  • 0
    Example: If I have to connect with 3 Remote Desktop servers, I just change the source port and Astaro will know where to forward that request 

    any tcp/3380 to external > to x.x.x.x tcp/3389 (RDP)

    Yes, you also want to change the port, and, "you can put in a destination service if it's a single port."

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML