Thread Info
  • State Not Answered
  • Replies 2 replies
  • Subscribers 0 subscribers
  • Views 418 views
  • Users 0 members are here
Options
Suggested

Feature Request: Multi-interface adress translation (MAT) for Generic Proxy

Michael Stumpf
Let's assume the following configuration.

WAN Interface of Astaro:eth0 has configured multiple IP-Adresses. e.g. 213.144.15.1 (EXTIP1) and 213.144.15.2 (EXTIP2).

The LAN Interface is configured as 192.168.0.1 (INTIP1)

Within the local network there are two servers which should be e.g. 192.168.0.101 (SRVIP1) and 192.168.0.102 (SRVIP2).

Let's say, the port 3389 on Server 1 (SRVIP1) should be reachable from EXTIP1, port 3389.
And the port 3389 on Server 1 (SRVIP2) should be reachable from EXTIP2, port 3389.

If we want to do this via a Generic Proxy it will fail, since you can only configure the Interface but not one of the adresses of it.

Currently there is no way? to configure a generic proxy for an alias Adress only?
  • 0
    Hi Michael, 

    i have good news for you!

    This functionality is already available in V6 and V7.

    You can do exactly this by using the DNA options.

    Rule 1)
    --------
    Src: Any
    Svc: tcp/3389
    Dst: network object with (213.144.15.1)

    DNAT to: 
     IP: network object with (192.168.0.101)
    Port: leave unchanged

    Rule 2)
    --------
    Src: Any
    Svc: tcp/3389
    Dst: network object with (213.144.15.2)

    DNAT to: 
     IP: network object with (192.168.0.102)
    Port: leave unchanged


    Than you need to create two packetfilter rules:
    Src: Any
    Svc: tcp/3389
    Dst: network object with (192.168.0.101)
    Action: Allow

    Src: Any
    Svc: tcp/3389
    Dst: network object with (192.168.0.102)
    Action: Allow


    thats it, 

    best regards
    Gert
  • 0 in reply to Gert Hansen
    Well, the DNAT + Packet Filter solution always worked, but it's clumsy and error-prone. The Generic Proxy feature that makes this much more obvious and easier to maintain should work on address-level, otherwise it's pretty much useless for machines with multiple IP-addresses on a (public) interface. Please consider this for V7.

    Cheers