Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 2045 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Inbound Connections with No NAT

Brougham
Hi Folks,

I'm currently evaluating Astaro as a replacement for a Sonicwall. We have 4 Class C addresses, and  I've subnetted one Class C (226) over eth1 eth2 and eth3 (eth0 is the management interface). eth1 is  the Internet Interface, eth2 the LAN, and eth3 the DMZ. eth2 is connected to an internal router that handles the three LAN Class C's (120,119, and 227). I can get outside no problem when using a masquerade rule for each LAN class C.  However, no inbound traffic is being allowed except on eth1 even though I have Any Any Any Allow rules set up in the packet filter. eth1 accepts pings and I can ssh into ASL from the outside world via eth1.

What routing entry do I need to make to be able to access the stuff on eth2 and eth3?

Here's the table:

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
x.x.226.38   0.0.0.0         255.255.255.255 UH    0      0        0 eth2
x.x.226.64   0.0.0.0         255.255.255.224 U     0      0        0 eth2
x.x..226.32   0.0.0.0         255.255.255.224 U     0      0        0 eth1
x.x..226.224  x.x.226.70   255.255.255.224 UG    0      0        0 eth2
192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
x.x.120.0    x.x.226.70   255.255.255.0   UG    0      0        0 eth2
x.x.119.0    x.x.226.70   255.255.255.0   UG    0      0        0 eth2
x.x.227.0    x.x.226.70   255.255.255.0   UG    0      0        0 eth2
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo
0.0.0.0         x.x.226.34   0.0.0.0         UG    0      0        0 eth1



  


This thread was automatically locked due to age.
  • 0
    It sounds to me as if the problem you are having is in the subject of your post...it sounds like all you have is a MASQ NAT and no DNAT defintions setup. You need to create a DNAT rule for all the servers/services you need access to from the outside world and create corresponding appropriate packet filter rules. I try to stay as far away as I can from the any any any accept rule...the more granular the better/secure.  
  • 0 in reply to Brent_Gay
    Hi Brent,

    Thanks foir the speedy reply!

    You're probably right that I should use NAT and indeed in the future I might very well.  I thought I'd try just the packet filtering elements of ASL first though. I've defined about 30 rules or so in the Sonicwall (not using NAT there) that I'm going to deploy once the routing issue (if that's what it is) gets sorted out. I read in another post that you could  just use the filtering. 

    Oh ... I'm probably missing something silly here [:)]  
  • 0
    Figured it out with the great help of Astaro support! It was a routing issue at my ISP!