Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 616 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Is it possible to do these rules?

LuisNeves
Hi,

How do i make this rule in astaro:

Make SNAT to FW external port EXCEPT for what goes to the a.b.c.d network?

a can make this with iptables and the -j ACCEPT target in the nat table on a regular linux firewall, but the web interface dont accept this kind of rule...

another one:

How to make a rule that has the not ("!") operator (but without rewriting the rule [:)] )

and finaly:

Where in the filesystem, using the shell, can i made this kind of rules that i cannot do with the Web Interface??

Regards,
Luis Neves 


This thread was automatically locked due to age.
  • 0
    I'm in a similar boat.

    I'd like to SNAT my internal DMZ IP's to match the aliased IP's on my external network when the destination is to the internet. However, I'd like to have the DMZ retain it's internal IP's to my internal networks. I've attempted to SNAT my IP's in the past, and while most of the effects are desirable, I'm eliminating the desired ability for my DMZ machines to connect to my other internal networks (in specific cases, this is required). 

    I've attempted to create two SNAT rules. One being the destination has no match, and the source is changed to the external IP. The second says that when the source is destined to an internal network, that it's "translated" to it's internal IP (in effect, not changed). However the problem is that the "no match" (all) rule takes presidence. Removing and adding the rule in an attempt to modify the order has no effect.

    A happy medium for me would be to allow us (the user) to specify an order for DNAT/SNAT rules so we can apply such overrides.  That way I could specify that the internal SNAT is checked before the global rule. 

    Even better, if I could specify a destination interface (iptables ... -o eth0 ... ) in my destination field, my problem would be solved. In ASL 3.2 and 4.0, choosing the "interface" only assigns the interface's IP, not the actual interface itself.  
  • 0 in reply to HTMLSpinnr
    if you masquerade to external fw interface what comes from ONLY your internal interface, and make another masquerade for what comes from de DMZ you can them access the DMZ from de internal and vice-versa with their private IPs.

    Did you tried that? i think this can be made with SNAT also instead of MASQ.

    Luis

    but my problem continues:
    How do i use te command line??? Is it possible (i know it is, but does exist a place to do this?) to make rules that the web interface cant? HEEELP! 
  • 0 in reply to LuisNeves
    On ASL v2.x it was possible to hack into the Kernel based on iptables and customize a few things. (see old v2 docs). As of ASL V4.0 i don´t know.

    Good luck and don´t forget to post your findings !!

    Abi.