Sophos-Astaro on Amazon EC2

Hi, based on Bob's description, you have the source and destination reversed.

Barry

Hi, based on Bob's description, you have the source and destination reversed.
Barry

I thought the same, but i tested everything.

Again, i just need a utm9 on ec2 and a server on ec2 or somewhere.

UTM9 no configuration just this NAT Roule.
EC2 Securty Group, allow all traffic to the utm.

I tested this... but it doesn't works

It's a good habit to leave the service blank when not changing it.  It's not important here, but when the service definition is a group or a range, you break the rule if you don't leave the service blank.

The second one should work if the definitions are correct.  Have you possibly fallen afoul of what I call Rule #3:

Never create a Host/Network definition bound to a specific interface.
Always leave all definitions with 'Interface: >'.

Cheers - Bob

Hi there, I think you need a small push towards the right direction.

EC2 is a "flat" network - you get only one nic, and cannot have multiple subnets. You get an IP in the EC2 pool which will have other machines from other people next to you in the same subnet (however firewalled and separated from seeing you).

If you want to have a machine on the "edge" protecting other machines, you first need to build a VPC (with public and private subnets) and then "launch" your UTM and other virtual machines inside the VPC private range, using the UTM as the gateway / nat for both subnets via an interface for each subnet connected to the UTM. You should then disable the amazon firewall / open all ports.

Amazon VPC networking is very powerful, but requires a bit of training to get started and be really effective, as they do have lots of tools. I'd highly suggest taking some of their trainings around that area if you are still unclear, its a goldmine of information and undoubtedly useful in the future [;)]

Hi Angelo,

Is there any way to avoid NAT with Astaro and VPCs? (I realize this is probably an Amazon limitation)

Thanks,
Barry

Hi barry, what NAT are you trying to avoid?

I like to use public IPs on all public servers, with no NAT.

Amazon probably makes that difficult, however. The Amazon server I'm using right now has one 10.x.x.x address and one NAT'd address... I'm not sure how their VPCs work.

Barry

Ah ok, well amazon doesnt give you a public IP, they give you only private IP's, and then for EC2 they attach a hostname to it, (as the public IP can be shared then by many other machines, but they use hostname mapping to find your instance from the internet.

VPC is where you should spend all your educational efforts if you want more than a single interface machine which is used for demos or an easily avaialble webadmin. Without VPC, you cant have machines "behind" your UTM.

-Angelo

It's a good habit to leave the service blank when not changing it.  It's not important here, but when the service definition is a group or a range, you break the rule if you don't leave the service blank.

The second one should work if the definitions are correct.  Have you possibly fallen afoul of what I call Rule #3:

Never create a Host/Network definition bound to a specific interface.
Always leave all definitions with 'Interface: >'.

Cheers - Bob

It doesn't work...
So can see the RDS connection work normal, but with Full NAT not really.
Watch the Video

Please confirm that the "utm9_public" and "server_public" Host definitions are not bound to the interface, that both have 'Interface: >' in 'Advanced'.

Cheers - Bob