Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 3175 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

masquerading with an exception

JRI_01
I have an ASL v5. I have a masq rule for those protocols/applications where I can't use proxy.
I want to have an exception, I mean for some destination, which is an external host, I don't want to masquerade my internal network.
Is there a way of doing that?


This thread was automatically locked due to age.
Parents
  • 0
    JRI,

    maybe a dirty trick does it. Afaik SNAT takes place before Masq, so you could try to mangle the internal packets which should be excluded with SNAT. Packet should look before and after NAT the same - have not tested it but I see a good chance

    Greetings
    cyclops
Reply
  • 0
    JRI,

    maybe a dirty trick does it. Afaik SNAT takes place before Masq, so you could try to mangle the internal packets which should be excluded with SNAT. Packet should look before and after NAT the same - have not tested it but I see a good chance

    Greetings
    cyclops
Children
  • 0 in reply to cyclops
    I made a DNAT/SNAT rule, with the destination matching the exception IP, and no change to the source and change the destination to the same destination IP. But anyway the firewall does the masquerading on the external address!
  • 0 in reply to JRI_01
    Hi,

    if I understand you right, than you want to send traffic with a private src address to a target in the internet, without changing the source address. This is not a good idea  [;)].

    If not, than the only way to get this done is by dropping the masquerading rule. Than add two snat rules while the position in the list is the priority, first one in list has higher priority.
    So the first one in the list would be the exception, and the second one would be the default rule.

    best regards
    Xman

    PS: This works in V4 dont know if it still works in V5  [:S]
  • 0 in reply to Xman_01
    Hi Xman,
    do you really mean the position of the nat-rules ? They only sorted by their names in WebAdmin.

    firebear