Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 3782 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Help With DNAT/SNAT Rule!

jskala
I am using ASL 3.2
I posted a question in the proxy section, but thought another aproach to the problem would work also, so let me see what everyone says.

I hate http proxy enabled in transparent mode.
Is there a way to make a rule for one machine on my internal network to bypass the proxy and make the connection direct but only for one machine?
Example I want internal machine 192.168.x.x to make all http connectoins right to the site rather then going through the proxy? Is it possible to create a rule for this?


This thread was automatically locked due to age.
Parents
  • 0
    Perhaps your "browser" may be able to help with this.  [:)] 

    In your browser, there is a thing called LAN Settings. Go into Advance. There you'll be able to place an exception to a specific IP or subnet to bypass your proxy.

    Hope that helps.

    jav
  • 0 in reply to javelin
    Forgive me for not saying this upfront..This would be possible if the device I am trying to make a direct connetion to had a browser, But this item is my Tivo PVR, it uses the network to get its updates for program guide info and what not. So setting it is not possible.
Reply
  • 0 in reply to javelin
    Forgive me for not saying this upfront..This would be possible if the device I am trying to make a direct connetion to had a browser, But this item is my Tivo PVR, it uses the network to get its updates for program guide info and what not. So setting it is not possible.
Children
  • 0 in reply to jskala
    I would recomend you add a SNAT Rule for that box or put in another nic and run a cross over cable to the pvr creating a dmz and then do a masq or snat rule.  That would be the best way.

    Rah
  • 0 in reply to DALTEC101
    I tried adding a snat rule maybe I am doing it wrong.. though any advice on how to add? or Direction you can point mt in? I was also thinking about adding another nic.(that I wanted to avoid) but if I can't get it wtih a rule then I will add another card.. Any direction anyone can provide on how to setup a rule would be great.

    I have tried saying take all squid traffic for that one machine and sending to the external interface and change the dst port to 80.. but since I am a tad new with ASL I might be goign about it all wrong. Any suggestions?
  • 0 in reply to jskala
    Hi jskala,
    put one rule to the packet filter if you can say to wich host your pvr communicates (maybe www.tv.com on http-port) you make a rule like :
    192.168.x.x -> http -> www.tv.com -> allow
    and additional to this you make a masq or snat-rule because otherwise the answer-packets from www.tv.com never find the way to your pvr.

    firebear
  • 0 in reply to firebear_01
    firebear what you are saying makes sense on the filter rule portion, but I am new to DNAT/SNAT so this is the puzzling portion(be gentle and speak slow)..
    But here is what I tried in Packet filet I placed in a rule that says
    Tivo HTTP Tivo_Updates Allow
    Tivo is the PVR
    Tivo_Updates is the ip address of the network it gets updates from.

    Ok now on the Nat rules I tried the following
    Source Address Tivo_updates Dest my external address service http.
    Change source no change.
    change destination tivo service change none.
    Tivo_Updates -> net_Interface__ / HTTP None Tivo

    Forgive me as I said I am very new to DNAT/SNAT
    Most of my Nat is with Iptable and portforwards the most basic of firewall nat devices. So with that in mind if anyone can suggest a place to get some how to's on the general rules of it and maybe a beginers guide that would be great..

    Thanks eveyone who has helped me with this. And thanks for not flaming me for the newbie questions. I hope to get good at this one day so I can help others.
  • 0 in reply to jskala
    Don't know if this helps but, even after putting the PVR on a DMZ with the proxy in transparent mode it won't work same problem as before so what I am wondering is what I am missing in the dnat/snat rules. is there a way to tell it with a rule to bypass the transparent proxy? Thanks
  • 0 in reply to jskala
    Hi jskala,

    I hope I get you right and maybe this solves your problem:

    Packetfilter:
    Src: Tivo, Dest: Tivo_Updates, Service: HTTP Action: Accept

    NAT/Masquerading:
    Name:      whateveryoulike
    Rule type: Masquerading
    Network:   Internal_Network (or just one host: Tivo)
    Interface: External

    What I do not know is how this rule works when you use transparent mode.

    Good luck...

    techno.kid
  • 0 in reply to techno.kid
    Well I have tried every possible config for a rule I can think of(maybe someone has another answer) But no matter what I can't get the PVR to bypass the transparent proxy, if I put the proxy in standard mode of course that works fine. But that defeats my purpose and then I have to change browsers to connect to the proxy, which I was trying to avoid. Is there something I could be missing? Something deeper in the system that needs changed to make this happen a config file or something. If anyone has any other Ideas that would be great.. thanks again. for those who have helped me.
  • 0 in reply to jskala
    Hi jskala,
    sorry some days out of internet    [:(]ckly.

    so to get the answer packets find a way back to you your masq rule should look like :

    notebook notebook.home_net -> All / All MASQ__t_online None

    this is my original rule taken by copy and paste. so i hope this could help you. and by the way i mean that the http-proxy in transparent mode only takes http-trafic and in standard mode takes various traffic from version 3.216 you can define wich traffic is forwarded by your http-proxy. do you knew wich protocol not wich port is taken by the software ?

    firebear
     
     [size="1"][ 24 January 2003, 17:28: Message edited by: firebear ][/size]
  • 0 in reply to firebear_01
    I would have responded sooner if I hadn't just gotten ASL up and running this weekend.

    I'm using a TiVo w/ cachecard and discovered a similar situation after turning up the HTTP proxy in "Transparent" mode. I'm currently running 4.018 w/ a two interfaces (no DMZ).

    I have a few machines (incl. the TiVo) that use static addressing as well as having a block set aside for DHCP addressing.

    I first went to Definitions->Networks and created entries for each of the statically addressed machines that I might do web browsing from. Here's an example:

    Name: Machine1
    IP address: 192.168.100.10
    Subnet mask: 255.255.255.255

    Then I created a definition for for the block of addresses handled by DHCP (addresses 192.168.100.129-192.168.100.254):

    Name: DHCP_Network
    IP address: 192.168.100.128
    Subnet mask: 255.255.255.128

    I then enabled the HTTP proxy in Transparent mode. From there I added each of the definitions I just created to "Allowed Networks." I did not include the TiVo. Unfortunately this chooser does not allow for the use of defined Network Groups.

    From there just make sure that you have a masquerading rule set up (sounds like you already do) so that the Tivo can get out to the Internet over port 80.

    Net effect is that all of the macines listed in "Allowed Networks" use the proxy. The TiVo doesn't.