Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 15 replies
  • Subscribers 2 subscribers
  • Views 3766 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

NAT negation

Oxiel_Contreras
Hello Gurus.

I want to negate objects in SNAT/DNAT rules, i mean been able to put ! in front of source or destination objects.

Is it possible to do it?, if not through webamin, maybe setting some script in background?, i know exactly where i need my rule inserted at Astaro's ones:

iptables -t nat -I USR_POST -s x.x.x.x -d ! y.y.y.y -j SNAT --to-source z.z.z.z

Regards

Oxiel


This thread was automatically locked due to age.
  • 0 in reply to hspcd
    Is it possible to create an SNAT rule that looks like the following example?  I don't want to have to create SNAT rules that avoid NAT'ing traffic to internal subnets for each host on all of my vlans.

    What would be cool would be a rule that is something like:

    Traffic Source: VLAN-20-Network
    Traffic Service: Any-Allowed
    Traffic Destination: Internal_Subnets
    NAT Mode: SNAT
    Source: 
    Service: Any-Allowed

    This would be a way for me to say "Don't NAT from this subnet to this group of subnets".
  • 0 in reply to hspcd
    When I see, that it is necessary to build rules NAT negation for version V7 where V6 still works OK it's made me unwell and sick.
  • 0 in reply to WaMaR
    When I see, that it is necessary to build rules NAT negation for version V7 where V6 still works OK it's made me unwell and sick.

    While I don't have any production systems running V7, I definitely have to use nat negation rules in my V6 setups, so I don't think it's a regression.
  • 0 in reply to drees
    I'm searching for the Astaro way to create the following rule combination:

    1. allow direct connection from LAN to HTTP servers inside DMZ.
    2. DNAT all connections from LAN to HTTP servers outside DMZ (Internet) towards a HTTP-proxy inside DMZ (transparent http proxy).

    To create the 2nd part of the combination alone is no problem,
    but where to put part 1 to exclude some destinations from the DNAT rule?

    Using SNAT as workaround is not nice, as I would like to see the real source addresses in the HTTP server logs and not only the firewall's address.
  • 0 in reply to hspcd
    8.200 now offers the NAT option "No NAT" next to SNAT, DNAT and Full NAT. "No NAT" excludes connections from NAT just as requested.