Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 11375 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

routing without NAT/Masquerading

J Garmon
I am attempting to setup this firewall without running NAT.  I am curring running NAT on my router outside of the firewall.  I need help getting internet access to work without running NAT.

If I setup my firewall with NAT using

dmz-masq   dmz -> All / All   MASQ__eth2   None 

I can access services normally except services that break when double natted. 

For troubleshooting, I am allowing all traffic:
any any any 
as my only packet filter rule.

As soon as I eliminate the NAT rule, I lose access to all of my services.  I have tried numerous routing entries on both the Astaro firewall and my external Cisco router.

Is running the firewall without NAT supported?  Any suggestions on how to make this work.  I feel like I am missing something simple.

Joe


This thread was automatically locked due to age.
  • 0
    I assume you have taken one of the private networks and subneted it. e.g. 10.0.2.0/24 for 'public' side, and 10.0.3.0/24 for private side.

    Define your interfaces with these address blocks.

    DO NOT Specify NAT or Masquerading.

    It works is if you were publically addressed, as in a sense you are, as a different system is responsible for the NATing functions on your public network.
  • 0 in reply to Bob M
    I believe it's...

    Illegitimi non Carborundum.

    I suppose the Bas***ds might have ground out the 'n'.   [;)]
  • 0 in reply to JimmyM
    I am not sure I follow you when you say 

    "Define your interfaces with these address blocks."

    I can only define the network interfaces with the single address, not with a network block.

    .

    I have the interfaces defined with these 
    addresses and netmasks.

    eth0  172.16.1.0/24
    eth1  172.16.2.0/24
    eth2  192.0.2.0/24

    and the networks defined as 
    gateway 192.0.2.0/24
    Service 172.16.2.0/24
    Lan 172.16.1.0/24

    I can ping any live address on any network from the firewall.  I can run with NAT but not without NAT - leads me to suspect routing or default gateway issues.

    My test network

    Internet
    |
    Cisco router 
    |(192.0.2.1)
    |
    |(192.0.2.2/eth2)
    Astaro ---------- "Service" (172.16.2.2/eth1)
    |(172.16.1.2/eth0)

    "Lan"

    Non-default routing on Astaro
    lan    Interface 'eth0'   
    any    Interface 'eth2'
  • 0 in reply to J Garmon
    Originally posted by J Garmon:
    I am not sure I follow you when you say 

    "Define your interfaces with these address blocks."

    I can only define the network interfaces with the single address, not with a network block.

    .

    I have the interfaces defined with these 
    addresses and netmasks.

    eth0  172.16.1.0/24
    eth1  172.16.2.0/24
    eth2  192.0.2.0/24

    and the networks defined as 
    gateway 192.0.2.0/24
    Service 172.16.2.0/24
    Lan 172.16.1.0/24

    Well, a /24 is an address block.  No offense, but address cluefulness is down all over.

     
    I can ping any live address on any network from the firewall.  I can run with NAT but not without NAT - leads me to suspect routing or default gateway issues.
    Do you have a rule to allow ANY for initial testing?  I hit that also at first, PINGs went through but no data.  Then I set up that first rule.  I believe the default is to drop all data packets...

     
    My test network

    Internet
    |
    Cisco router 
    |(192.0.2.1)
    |
    |(192.0.2.2/eth2)
    Astaro ---------- "Service" (172.16.2.2/eth1)
    |(172.16.1.2/eth0)

    "Lan"
    Wait a minute here.  192.0.2.0/24 is NOT listed in RFC 1918.  Is this the SUN private address net (SUN had an example network in their manuals with addresses, and everyone used those, so IANA made it also private).  It would seem that the Cisco is doing your NATing.

     
    Non-default routing on Astaro
    lan    Interface 'eth0'   
    any    Interface 'eth2'
    Try the permit ANY rule.
  • 0 in reply to Bob M
    Originally posted by J Garmon:
    I am not sure I follow you when you say 

    "Define your interfaces with these address blocks."

    I can only define the network interfaces with the single address, not with a network block.

    .

    I have the interfaces defined with these 
    addresses and netmasks.

    eth0  172.16.1.0/24
    eth1  172.16.2.0/24
    eth2  192.0.2.0/24

    and the networks defined as 
    gateway 192.0.2.0/24
    Service 172.16.2.0/24
    Lan 172.16.1.0/24

    Internet
    |
    Cisco router 
    |(192.0.2.1)
    |
    |(192.0.2.2/eth2)
    Astaro ---------- "Service" (172.16.2.2/eth1)
    I just did some checking.  YOU SHOULD NO USE ANY NETWORK STARTING WITH 192.0.  This is reserved by IANA.

    RFC 1918 (which I know all too well, check out the author list), specifies the following ranges:

    10.0.0.0        -   10.255.255.255  (10/8 prefix)
    172.16.0.0      -   172.31.255.255  (172.16/12 prefix)
    192.168.0.0     -   192.168.255.255 (192.168/16 prefix)

    As far as 192.0.2.0:

    IANA (RESERVED-2) RESERVED-192      192.0.0.0 - 192.0.127.255
    Internet Assigned Numbers Authority (NET-TEST) IANA    192.0.2.0 - 192.0.2.255
  • 0 in reply to Bob M
    I just did some checking. YOU SHOULD NO USE ANY NETWORK STARTING WITH 192.0. This is reserved by IANA.

    RFC 1918 (which I know all too well, check out the author list), specifies the following ranges:

    10.0.0.0 - 10.255.255.255 (10/8 prefix)
    172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
    192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

    As far as 192.0.2.0:

    IANA (RESERVED-2) RESERVED-192 192.0.0.0 - 192.0.127.255
    Internet Assigned Numbers Authority (NET-TEST) IANA 192.0.2.0 - 192.0.2.255
      
    I assume you mean you can't use them on a public interface???  As internaly you can use anything you want really.  The only problem you would have with using a public IP internaly would be if you tried to goto a site that was hosted on the LEAGAL or Public IP.  Your FW is still going to route you no matter what your IPs are, if you configure it correctly.
  • 0 in reply to MadHatter
    oops.... should have read the post more carefully... I see that this IS publicly accessable.  My appoligies.  [:O]
  • 0 in reply to MadHatter

    --------------------------------------------------------------------------------
    I just did some checking. YOU SHOULD NO USE ANY NETWORK STARTING WITH 192.0. This is reserved by IANA.

    RFC 1918 (which I know all too well, check out the author list), specifies the following ranges:

    10.0.0.0 - 10.255.255.255 (10/8 prefix)
    172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
    192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

    As far as 192.0.2.0:

    IANA (RESERVED-2) RESERVED-192 192.0.0.0 - 192.0.127.255
    Internet Assigned Numbers Authority (NET-TEST) IANA 192.0.2.0 - 192.0.2.255
    The 192.0.2.0 is behind my NAT on the Cisco Router.  It is not on the Public Accessible Internet.  

    I will need to write this up.  That is why I am using the reserved documentation range  as my pseudo-public IP.

     

    I have the interfaces defined with these 
    addresses and netmasks.

    eth0 172.16.1.0/24
    eth1 172.16.2.0/24
    eth2 192.0.2.0/24
    Typo cluefulness is really short.  Meant to say

    eth0 172.16.1.2/24
    eth1 172.16.2.2/24
    eth2 192.0.2.2/24

    -------------------------------
    Yet another Inquisitive Idiot making stupid statements...
  • 0 in reply to J Garmon

    Your FW is still going to route you no matter what your IPs are, if you configure it correctly.
    That is what I am trying to figure out.  Time for some more homework.
  • 0 in reply to J Garmon
    It is not true that you can use any address you want behind your NAT this is why we blocked out as much address space as we did.  What if you chose my addresses to use behind your nat and you attempted to connect to my web server, the connection would never go out.

    Now you can always 'risk it' and use an IANA reserved block, but we created enough address space to avoid stupid configurations.

    Please read RFC 1918.

    Oh, 'stealing' someone elses address space can be made to work by double NATing.  One large company tried to take the IETF to court when it realized that the addresses that it decided to use was assigned to some other company that they needed to access.  It never went to court, but they were a BIG company that should have read the specs....