Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 12929 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

To MASQ or not to MASQ, that is the question.

BigO
I have read that there should be a MASQ setup between the internal and external interfaces. Why? I do not have this and all seems to work fine for me, and it has been ever since I started using ASL two years ago.

Simple config, v5.011, 3 NICs using SMTP, HTTP, POP3 and DNS proxies

Is there any benefit/reason in doing this?


This thread was automatically locked due to age.
Parents
  • 0
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/62/t/57295

     [ QUOTE ]
     a couple of points:

    a) you can snat a whole network against a single IP if you wish (for example, a DMZ network, or a subset of a network against a different IP on the external interface.

    b) masquerading is assigned to an interface, not an ip. it is designed (IIRC) for people doing dialup who may not know the ip that is going to be assigned to an interface (dhcp from the isp), but need to hide an rfc1918 address space behind that interface none-the-less. it will pickup the first/main address on the interface.

    the fact that astaro does not allow you to pick a different address to masq through is down to the way iptables works, not through any lack of functionality in asl. if you *need* to do the equiv of 

    all IMHO of course,

    Hope this helps,

    Karl 
     

    [/ QUOTE ]
  • 0 in reply to WaMaR
    Hi there all, 

    you have two networks connected to your firewall.

    One internal network with privat, non routable addresses.
    One external network official routable addresses.

    In order to make your Internal addresses talk to the internet, 
    you have two option.

    1) use proxies
    2) use Masquerading or Source Network Address Translation (SNAT)

    both techniques do the somehow the same thing.

    It takes your internal requests, replaces the source IP of this request with the external one, send it on through the internet.
    Once the anwser comes back, it replaces the source IP back, to make sure the request gets forwarded to the internal client.

    Which way is the better one?
    Well there or many different anwsers to that question.

    Both do the job in enabling you to communicate with the internet.

    Regards
    gert
Reply
  • 0 in reply to WaMaR
    Hi there all, 

    you have two networks connected to your firewall.

    One internal network with privat, non routable addresses.
    One external network official routable addresses.

    In order to make your Internal addresses talk to the internet, 
    you have two option.

    1) use proxies
    2) use Masquerading or Source Network Address Translation (SNAT)

    both techniques do the somehow the same thing.

    It takes your internal requests, replaces the source IP of this request with the external one, send it on through the internet.
    Once the anwser comes back, it replaces the source IP back, to make sure the request gets forwarded to the internal client.

    Which way is the better one?
    Well there or many different anwsers to that question.

    Both do the job in enabling you to communicate with the internet.

    Regards
    gert
Children
No Data