Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 2 subscribers
  • Views 735 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

NAT Still being difficult - Need help badly

Ticker
I have a machine on the DMZ.  Works beautifully but there is a big problem.  Occasionally we want to allow this host to hit the Internet and then later close it back off.  The problem is, to make this happen I am having to enable a NAT that breaks what is already working (users hitting it from the outside and the host itself talking to private nets on the other side of the firewall).  I do not want this box to NAT when it goes across the firewall to other local nets here.  I want it to NAT ONLY when it goes to the Internet.  I can't make this happen.


This thread was automatically locked due to age.
Parents
  • 0
    1 Setup a NAT for INT net - All on EXT interface.

    2 Setup a NAT for DMZ net - All on EXT interface.

    3 Setup rules to allow INT to get out (INT any - any allow, or whatever)
    If you are going to be restrictive, make sure you also allow INT to access DMZ as needed.

    4 Setup rules to allow DMZ to get out (INT any - any allow, or whatever)

    5 Block DMZ from accessing INT
    DMZ any INT LOGDROP

    6 OPTIONAL, use with care!
    Setup rules to allow DMZ to get to INT as needed.
    ONLY if DMZ needs to initiate connection, not if INT connects to DMZ.
    (put these in front of rules from 5)

    When you want to block DMZ from getting out, turn off rule from 4 above. You do not need to disable NAT each time.


    Barry
  • 0 in reply to BarryG
    OR :
    your DNAT should be:

    source: any
    destination: external address
    service: ftp
    Change source: no change
    Change Destiation : ftp (which has ip 10.0.1.200)

    packet filter rule should be:
    Source: Any
    Destination: ftp
    Group: none
    Service: ftp
    Action: allow
Reply
  • 0 in reply to BarryG
    OR :
    your DNAT should be:

    source: any
    destination: external address
    service: ftp
    Change source: no change
    Change Destiation : ftp (which has ip 10.0.1.200)

    packet filter rule should be:
    Source: Any
    Destination: ftp
    Group: none
    Service: ftp
    Action: allow
Children
No Data