Basic understanding needed

Hi Claus,

what about the masquerading rule to hide your internal Ips in the Internet?

Best
Dominic

Hi Claus,

what about the masquerading rule to hide your internal Ips in the Internet?

Best
Dominic

Hi,

I am not online to the system right now, but I am quite sure, that nothing was set up her.
Is that a general requirement for trafic, which cannot be left unattended/default?

/Regards

this box is by default deny any any. so you need to build all your self.

if you use private addresses internally you will need to create a masquerading rule to allow the internal private network translate to the wan public interface.
then you need to create some rules to allow outbound traffic. if you want to use outbound http traffic you can use the http proxy. you also need to create an outbound https (tcp 443) rule. now check your internal network what kind of outbound traffic is needed. you will need to create the necessary rules for that traffic.

you will find those settings in the left pane under Network Security / NAT and Network Security / Packet filter.

i know there are lots of folk out there who just create an outbound rule of any but then you can ask your self the question why using astaro in the first place.

the beauty of astaro is that you want to have full control of all traffic flowing in and out your network(s).

Hi,
1) I fully agree: Of course I will *not* run in production with packet rule any, any, any. This is solely for getting trafic through and understand basic, needed configuration of the ASG120. Then packet filter should not be the limitation in the first place.

2) As I read your reply: Masquerading is needed in any case, right?
How come I can get http(s) traffic through with only HTTP proxy enabled, and NO masquerading configuration?
When do I use masquerading compared to DNAT/SNAT?

Thanks in advance.

/Claus

HTTP works since the proxy allows access.

You need MASQ rule if you want to run other services through the firewall such as NTP, Remote Dekstop etc etc.

Generally a good idea to create a MASQ rule, then use packet filter to allow other services.

Hi,

thank you. I'll test asap.
When do I use masquerading compared to DNAT/SNAT?

/Regards

Masquerading is usually used to map whole networks to an interface.

DNAT/SNAT is usually used to forward particular services to certain machines in a MASQed environment, (or sometimes not masqueraded, however more painful).

Use DNAT for instance to forward FTP packets to a FTP server behind your firewall, forward bittorrent traffic etc..

Hi,
as I read it: D/SNAT is in general not needed for basic configuration/traffic?
In the case of routing something like FTP from the outside to a specific internal server: Wouldn't that be a generic proxy definition?
/Regards

see it like this (very simplistic);

masquerading is for outbound traffic if you use private addresses on you lan going to wan.

well most do (if not all) but you can have public addresses on your dmz for example and then you don't need masquerading for outbound traffic from that dmz to wan

wiki info http://en.wikipedia.org/wiki/IP_Masquerade


DNAT/SNAT for inbound traffic.
DNAT -> destination network translation
SNAT -> source network translation

but this has nothing to do with astaro and applies to all firewalls. more info can be found here http://en.wikipedia.org/wiki/DNAT on the internet.

i found it personal a bit odd that you don't google / wiki for this basic info.

Hi,
thank you for your kind explanations - very helpful.
I got connection on the Astaro - issue solved.
/Regards

I am following this quick start guide and am suppose to create some masquerading rule, it did not give an example.  What am i to do there.

Thanks.