Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 4153 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Static Nat

Netzzwerg
First i want to say, its my first time with the Astaro Firewall, and  I want to configure a static nat. I found in the forum several posts about nat configuration but nothing worked for me. 

Here is the nat rule :  Match parameters : testpc -> Any / Any, SRC translation: natpc,  DST translation:  None 

My paket filter rules : 
  1  pcnat Any Any Allow   
  2  Any Any testpc Allow 
  3  testpc Any Any Allow  
  5  natpc  Any testpc Allow 
  4  Any Any Any Log Drop   
 

Anyone an idea what i have configured wrong here ? When I enable masquerading it works fine.. but this is not what I need.
   


This thread was automatically locked due to age.
Parents
  • 0
    maybe you should tell us what you want the nat rule to do for you...

    /marcel 
  • 0 in reply to Marcel_01
    Silly me, was too tired yesterday  

    I want to static nat a Pc here, from a internal adress of one official external adress (its just for testing purpose). The pc should have then access to the internet and must reachable from there. 

    Take Care
      
  • 0 in reply to Netzzwerg
    do the following definitions:

    PC-intern: 
    PC-extern:  (if you want to use 'External_Interface__', skip this definition)

    add the following NAT rules:
    1 - SNAT (traffic from PC to outside):
    Match Source: PC-intern
    Match Dest: no match
    Match Port: no match
    Change Source: PC-extern (or External_Interface__)
    Change Dest: no change

    2 - DNAT (traffic from outside to PC):
    Match Source: no match
    Match Dest: PC-extern (or External_Interface__ - be careful here.. access to the Webadmin from outside will no longer work!)
    Match Port: no match
    Change Source: no change
    Change Dest: PC-intern

    add the following Packetfilterrules:

    PC-intern  Any  Any Allow  (for traffic from PC to outside)
    Any Any PC-intern Allow (for traffic from outside to PC)

    done

    for more questions: read the FAQ

    /marcel 
  • 0 in reply to Marcel_01
    Heya Marcel,

    thx for your fast answer. But it only works when I am configure the SNAT/DNAT rule for the external interface, and not for the external PC Ip adress. 

    I am working with ASL 4002..

    Any ideas ?


       
  • 0 in reply to Netzzwerg
    Hi!

    I solved this issue so that I added additional IP to the external NIC. I don't know if this is the best way, but it works.

    Best regards, Matjaz 
Reply Children
  • 0 in reply to Matjaz
    Yeah Matjaz.. this works perfect. Thx for your help

    regards Netzzwerk   
  • 0 in reply to Matjaz
    Matjaz,

    So, you added a secondary IP address to your external interface?  From the sounds of it, the firewall is not being configured to ARP for the NAT IP address.  Is that something that the WebAdmin is supposed to handle, or perhaps you need to make a manual changes somewhere to allow the firewall to ARP for a particular IP address?

      
  • 0 in reply to Moby
    Moby,

    I don't think I can answer your question. 
    I only know, that it is not enough if there is made route for specific IP class to your ASL box, where you make NAT of those IPs then to DMZ with private IP range. The only way that it worked for me was to add neccessary IPs as additional IP addresses to external interface.
    Or maybe I did something wrong?

    Best regards, Matjaz