Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 45 replies
  • Subscribers 3 subscribers
  • Views 370706 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Cannot open any ports via NAT or firewall rule but existing ones work?

traderjay
Hi All - I am trying to enable remote access for the Plex server and it requires the opening of ports in the 32xx range. 

I enabled the following DNAT rule: TCP 1:65535 → 32400.

Unfortunately the port remains closed when testing using this site and on Plex Server's network config:
Open Port Check Tool

I tried a variety of port numbers and none of them seemed to work which is very baffling. As a last resort, I tried some common port used by RDP such as 3389 and the connection worked....

Lastly, I am also using the following rule on my UTM:

Internal (Network) -> any -> any

I've also reviewed the firewall log and below is the dropped packet:

2015:10:19-12:30:19 homestation ulogd[6592]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="ppp0" srcip="54.193.168.189" dstip="24.140.238.16" proto="6" length="60" tos="0x00" prec="0x00" ttl="47" srcport="2985" dstport="32400" tcpflags="SYN"


This thread was automatically locked due to age.
  • 0
    You have 32600 in one place and 32400 in another.  I'm not sure what were looking at on the Plex server picture.

    The DNS Hostname in the Host definition "Plex Server" should be an FQDN.  We can't see inside the 'Advanced' section to be sure it's not bound to an interface.

    What line do you get in the Firewall log file now?

    Cheers - Bob
    PS Cross-posting with Scott - Hey Scott!
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    You have 32600 in one place and 32400 in another.  I'm not sure what were looking at on the Plex server picture.

    The DNS Hostname in the Host definition "Plex Server" should be an FQDN.  We can't see inside the 'Advanced' section to be sure it's not bound to an interface.


    What line do you get in the Firewall log file now?

    Cheers - Bob
    PS Cross-posting with Scott - Hey Scott!



    I've attached a picture of the Plex Server Host with the advanced tab open. Should I change the WAN interface to (Internal)? Also should I modify the name Plex Server to plex_server?


    According to official Plex Documentation:

    The most important port to make sure your firewall allows is the main TCP port the Plex Media Server uses for communication:

        TCP: 32400 (for access to the Plex Media Server) [required]

    The following ports are also used for different services:

        UDP: 1900 (for access to the Plex DLNA Server)
        TCP: 3005 (for controlling Plex Home Theater via Plex Companion)
        UDP: 5353 (for older Bonjour/Avahi network discovery)
        TCP: 8324 (for controlling Plex for Roku via Plex Companion)
        UDP: 32410, 32412, 32413, 32414 (for current GDM network discovery)
        TCP: 32469 (for access to the Plex DLNA Server)

    One can manually select a port on your wan interface that allows incoming traffic into the network, which are then redirected to the Plex server.

    As for the firewall logs, I am now getting these but its probably not related to Plex: 

    2015:10:20-14:05:12 homestation ulogd[12270]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="ppp0" mark="0x307c" app="124" srcip="206.248.154.170" dstip="69.165.161.58" proto="17" length="71" tos="0x00" prec="0x00" ttl="62" srcport="53" dstport="24313" 
  • 0
    This caught me as well.  Even if you change the port in the Plex settings and change the EXTERNAL port, the INTERNAL port that Plex listens on is always 32400.

    Either keep Plex on the default port of 32400 and use the attached DNAT configuration (DNAT-Default-Plex.jpg) Where PLEX is defined Plex service for port 32400.

    Or 

    You will need to create two services in UTM

    INT-PLEX - Port 32400
    EXT-PLEX - Port 32600

    In the Matching condition section put your EXT-PLEX service
    In the Action change it to the Plex server and the server to INT-PLEX service.
  • 0
    [SIZE="6"]WOOOOOHO[/SIZE] thank YOU EVERYONE FOR YOUR HELP, PATIENCE and SUPPORT!!! Its finally working now!!!

    I need to go into the advanced setting of the host definition, and change the Interface to Internal and now everything is working!!!
  • 0
    That's good news!
    I need to go into the advanced setting of the host definition, and change the Interface to Internal and now everything is working!!! 

    which Host definition used where?

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    That's good news!

    which Host definition used where?

    Cheers - Bob


    I basically went to the Plex Server Host definition, changed the Interface from > to Internal!
  • 0
    Gigabit internet should be arriving in my neighborhood soon and I can't wait to give my sophos box workout!
  • 0 in reply to traderjay
    Gigabit internet should be arriving in my neighborhood soon and I can't wait to give my sophos box workout!


    Nice to hear.  Also, very jealous of your Gigabit internet!!  Enjoy!
  • 0
    Interface from > to Internal
    Good to hear you're fixed up.  This is one of a handful of times I've seen an issue being resolved by changing the binding FROM the default >.  Leads me to believe that you may have changed this setting for multiple hosts/groups.  Generally changing this setting from the default can cause odd blockages that make little sense, so hard to troubleshoot, but if it's working for you then so be it.
    __________________
    ACE v8/SCA v9.3

    ...still have a v5 install disk in a box somewhere.

    http://xkcd.com
    http://www.tedgoff.com/mb
    http://www.projectcartoon.com/cartoon/1
  • 0
    I'm with Scott - I think it's an indication of some other unusual configuration, but if the wheels keep turning, I say keep riding the bike!

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Unfiltered HTML