Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 2 subscribers
  • Views 932 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

general NAT questions.

giallu
Maybe I can better help myself to understand what's going wrong in my network if someone can answer me some questions:

let's start from a simple setup:

eth0 internal 192.168.1.1/24
eth1 external a.b.c.d/24
eth2 DMZ 10.0.0.1/24

Q1. just having this things defined, can a host like 192.168.1.10 connect with ssh, telnet or whatever to 10.0.0.2 and viceversa?? 

Q2. If I setup the firewall to MASQ the internal net 192.168.1.0 to external all packets will have the address a.b.c.d whenever they exit from extern. But what if I add a SNAT to one of my already MASQed machines?

Q3. if I put a machine in the DMZ, it will need a SNAT rule to access internet (either to give it the extern or an aliased IP). let's say this is a web server: if I open port 80 to Any will that include the internal lan machines?

Q4. when Oliver says  
here to use MAILSERVER in those rules, is him referring to the NATted IP (i.e. a real one) or the actual IP in the DMZ (i.e. 10.0.0.1)?

thanks in advance to whoever will find some spare time to answer this (stupid? ) questions.

greetings


This thread was automatically locked due to age.
Parents
  • 0
    quote:

    Q1. just having this things defined, can a host like 192.168.1.10 connect with ssh, telnet or whatever to 10.0.0.2 and viceversa?? 


    if you have defined no rule allowing traffic from "internal" to a server definition in "DMZ" - I don't think so.
    In this situation, I think that you would have to set up rules allowing traffic both ways. Preferrably only between specific hosts and/or services (you ain't very secure if you allow your DMZ to freely contact your internal network.

     
    quote:

    Q2. If I setup the firewall to MASQ the internal net 192.168.1.0 to external all packets will have the address a.b.c.d whenever they exit from extern. But what if I add a SNAT to one of my already MASQed machines?

    If you wonder whether you can make the outside "see" a different address than a.b.c.d - I don't think so. 
    If you have several IP's aliased to your external interface - perhaps you can define this.

     
    quote:

    Q4. when Oliver says 
    here to use MAILSERVER in those rules, is him referring to the NATted IP (i.e. a real one) or the actual IP in the DMZ (i.e. 10.0.0.1)?

    I suspect that the MAILSERVER entry is a definition of one specific machine, entered like this 10.0.0.1 with a netmask of 255.255.255.255

    Hope this helps a bit.

    Best regards,
    Ørjan Sandland
Reply
  • 0
    quote:

    Q1. just having this things defined, can a host like 192.168.1.10 connect with ssh, telnet or whatever to 10.0.0.2 and viceversa?? 


    if you have defined no rule allowing traffic from "internal" to a server definition in "DMZ" - I don't think so.
    In this situation, I think that you would have to set up rules allowing traffic both ways. Preferrably only between specific hosts and/or services (you ain't very secure if you allow your DMZ to freely contact your internal network.

     
    quote:

    Q2. If I setup the firewall to MASQ the internal net 192.168.1.0 to external all packets will have the address a.b.c.d whenever they exit from extern. But what if I add a SNAT to one of my already MASQed machines?

    If you wonder whether you can make the outside "see" a different address than a.b.c.d - I don't think so. 
    If you have several IP's aliased to your external interface - perhaps you can define this.

     
    quote:

    Q4. when Oliver says 
    here to use MAILSERVER in those rules, is him referring to the NATted IP (i.e. a real one) or the actual IP in the DMZ (i.e. 10.0.0.1)?

    I suspect that the MAILSERVER entry is a definition of one specific machine, entered like this 10.0.0.1 with a netmask of 255.255.255.255

    Hope this helps a bit.

    Best regards,
    Ørjan Sandland
Children
Unfiltered HTML