Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 3474 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Routing without NAT/Masquerating

BMBUSS
Hi

I want to route with ASL from Internal Network (Private) to the DMZ.
And I want only use Packet Filtering for the traffic, not NAT/Masquerating.
The scenario is as follows: INTERNAL 192.168.x.x --> ASL3.x --> DMZ 172.30.x.x --> ISA Server --> EXTERNAL.
The ISA Server must identify the client machines in the INTERNAL due to the IP-Address because security rules at
Actice Directory. The client machines are grouped in VLANs.
Somebody an idea whether this functioned? 

---------------------------------------------
Bernd Buss
Astaro 3.2 Enterprise


This thread was automatically locked due to age.
  • 0
    no idea, don't eaven know any ISA-Server.

    just a try ... ;-)

    your ASL-box should know the route to Server IP as well as to the clients IP.
    so wy should it not work, to just call the original IP?

    if dnat/snat is defined, the server sees the original source IP, the client thinks server has a different ip (usually an alias on outer interface).

    kind regards, christian
  • 0 in reply to Chris_W
    This will work as long as there is no masq rule for the traffic.  From my understanding you basically want to use astaro as a multiport router and firewall with no NAT.  the ISA (internet security and accel) server will be in one zone and the clients in another. By default the ASL will not NAT anything.
  • 0 in reply to motoxman
    Originally posted by bernd buss:
    I want to route with ASL from Internal Network (Private) to the DMZ.
    And I want only use Packet Filtering for the traffic, not NAT/Masquerating.
    The scenario is as follows: INTERNAL 192.168.x.x --> ASL3.x --> DMZ 172.30.x.x --> ISA Server --> EXTERNAL.
    The ISA Server must identify the client machines in the INTERNAL due to the IP-Address because security rules at
    Actice Directory. The client machines are grouped in VLANs.
    Somebody an idea whether this functioned? 

    Both your internal and DMZ are using RFC 1918 addresses and are 'inside' of your NATed space.  ISA being your NAT box.  As such, there is no problem here.  Just set things up as if you were connected to the Internet with public addresses inside (as I have).

    All you do for your interfaces is define the ether IP address, the mask, and for the DMZ, the 'gateway' which is the address of the ISA box.

    Astro should work then as a router.  After you got your basic routing, add your filters.