Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 3216 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNAT -> this cannot be this hard

ollion
RevJoe,

you have to use the internal addresses in the packet filters.
DNAT happens before routing and filtering!

SNAT and masquerading happen after filtering,

This means, if you work with any kind of NAT you
have to use the "internal" addresses in  packet
filter rules!!!

Maybe this link is useful
http://packetstorm.widexs.nl/UNIX/firewall/ipchains/netfilter/netfilter-HOWTO.html

regards
ollion

[ 21 February 2002: Message edited by: ollion ]



This thread was automatically locked due to age.
Parents
  • 0
    All I need to do is allow port 80 traffic that comes to the Aliased IP on the External NIC to an internal web server

    All the docs say this is all I need.

    Help?


    ----------

    Alias:
    82-Alias (Interface eth1:0 -IPAddr 64.164.40.82 - Netmask 255.255.255.240)

    Defintions:
    ExtAlias1 64.164.40.82 255.255.255.255
    External 64.164.40.80 255.255.255.240
    ExtNic 64.164.40.84 255.255.255.255
    Internal 192.168.1.0 255.255.255.0
    LinuxServer 192.168.1.200 255.255.255.255
    NTServer 192.168.1.124 255.255.255.255
    Any 0.0.0.0 0.0.0.0
    localhost 127.0.0.1 255.255.255.255
    Private Network 10.0.0.0 10.0.0.0 255.0.0.0  Private Network 172.16.0.0 172.16.0.0 255.240.0.0
    Private Network 192.168.0.0 192.168.0.0 255.255.0.0


    DNAT Rule:
    ExtAlias1 HTTP  NTServer HTTP 

    Packet Rule:
    1  Internal Any Any Allow
    2  Any HTTP ExtAlias1 Allow
Reply
  • 0
    All I need to do is allow port 80 traffic that comes to the Aliased IP on the External NIC to an internal web server

    All the docs say this is all I need.

    Help?


    ----------

    Alias:
    82-Alias (Interface eth1:0 -IPAddr 64.164.40.82 - Netmask 255.255.255.240)

    Defintions:
    ExtAlias1 64.164.40.82 255.255.255.255
    External 64.164.40.80 255.255.255.240
    ExtNic 64.164.40.84 255.255.255.255
    Internal 192.168.1.0 255.255.255.0
    LinuxServer 192.168.1.200 255.255.255.255
    NTServer 192.168.1.124 255.255.255.255
    Any 0.0.0.0 0.0.0.0
    localhost 127.0.0.1 255.255.255.255
    Private Network 10.0.0.0 10.0.0.0 255.0.0.0  Private Network 172.16.0.0 172.16.0.0 255.240.0.0
    Private Network 192.168.0.0 192.168.0.0 255.255.0.0


    DNAT Rule:
    ExtAlias1 HTTP  NTServer HTTP 

    Packet Rule:
    1  Internal Any Any Allow
    2  Any HTTP ExtAlias1 Allow
Children
No Data
Unfiltered HTML