Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 12922 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

To MASQ or not to MASQ, that is the question.

BigO
I have read that there should be a MASQ setup between the internal and external interfaces. Why? I do not have this and all seems to work fine for me, and it has been ever since I started using ASL two years ago.

Simple config, v5.011, 3 NICs using SMTP, HTTP, POP3 and DNS proxies

Is there any benefit/reason in doing this?


This thread was automatically locked due to age.
  • 0
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/62/t/57295

     [ QUOTE ]
     a couple of points:

    a) you can snat a whole network against a single IP if you wish (for example, a DMZ network, or a subset of a network against a different IP on the external interface.

    b) masquerading is assigned to an interface, not an ip. it is designed (IIRC) for people doing dialup who may not know the ip that is going to be assigned to an interface (dhcp from the isp), but need to hide an rfc1918 address space behind that interface none-the-less. it will pickup the first/main address on the interface.

    the fact that astaro does not allow you to pick a different address to masq through is down to the way iptables works, not through any lack of functionality in asl. if you *need* to do the equiv of 

    all IMHO of course,

    Hope this helps,

    Karl 
     

    [/ QUOTE ]
  • 0 in reply to WaMaR
    Hi there all, 

    you have two networks connected to your firewall.

    One internal network with privat, non routable addresses.
    One external network official routable addresses.

    In order to make your Internal addresses talk to the internet, 
    you have two option.

    1) use proxies
    2) use Masquerading or Source Network Address Translation (SNAT)

    both techniques do the somehow the same thing.

    It takes your internal requests, replaces the source IP of this request with the external one, send it on through the internet.
    Once the anwser comes back, it replaces the source IP back, to make sure the request gets forwarded to the internal client.

    Which way is the better one?
    Well there or many different anwsers to that question.

    Both do the job in enabling you to communicate with the internet.

    Regards
    gert
  • 0
    [ QUOTE ]
    I have read that there should be a MASQ setup between the internal and external interfaces. Why? I do not have this and all seems to work fine for me, and it has been ever since I started using ASL two years ago.

    [/ QUOTE ]Every little SOHO 4-port router that is available today have NAT functionality built into it. With ASL you have to create a masquerade rule to NAT your Internal network to the External interface, in order to achieve the same thing.
    Perhaps you should tell us how you got the machines on your Internal network to communicate with the outside world without implementing the standard masquerading rule.

    [ QUOTE ]
    Is there any benefit/reason in doing this? 

    [/ QUOTE ]Yes. It provides general access to the Internet from the respective private networks that are being masqueraded. Most of us cannot get by without it. You appear to be the exception.
  • 0 in reply to VelvetFog
    [ QUOTE ]
    Perhaps you should tell us how you got the machines on your Internal network to communicate with the outside world without implementing the standard masquerading rule.

    [/ QUOTE ]

    This is quite possible if you proxy everything.  If you run on all proxies (HTTP in Standard mode, DNS, POP3, and SMTP), you don't need a masquerade rule or a single filter entry.  Proxies are very popular on sensitive networks because they can provide a superb level of security.  ("No rules, just right" - sorry, that line was too hard to resist!)

    -Steve
  • 0 in reply to VelvetFog
    Color me stupid . . .

    In front of my ASL box I have a DSL NAT router.
    This is all I had prior to using ASL. At that time this did all my "firewalling" (yeah, I know, NAT/PAT a firewall does not make).
    On this NAT router are static routes to the internal network and DMZ, aren't there. Oops, forgot about that.
    I configured the NAT router over two years ago and have never changed that part of the config.
    I understand about masquerading and NAT. Understanding how my ASL box was working without a MASQ rule was confusing me. Doh!
    Well, I have now removed the static routes on my NAT router and replaced them with MASQ rules on the ASL box.  :-)

    In the words of someone else . . .   Stupid is as stupid does!

    None the less, thanks for all the replies.
  • 0 in reply to OfficeDefender
    [ QUOTE ]
    This is quite possible if you proxy everything. If you run on all proxies (HTTP in Standard mode, DNS, POP3, and SMTP), you don't need a masquerade rule or a single filter entry.

    [/ QUOTE ]Unfortunately, there aren't proxies available for all the different sub protocols that I run.