Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 2 subscribers
  • Views 18591 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Full NAT a /24 network?

BarryG
I need to setup our new firewall at a co-lo with one of our /24 networks, but have been ordered to NAT it to a 10.x.x.x internal network... [[[:(]]]

I would rather not do NAT, but I don't have a choice.

I am under the impression that I need to do the following:

1. have the ISP use 1 of our IPs for their router

2. setup the external interface with an IP on the real Class C network

3. setup another 253 or so "additional addresses" on the external interface
[[[:(]]]

4. setup the 10.x.x.x network on the internal interface

5. setup "Full NAT" for all 253 or so IPs 
[[[:(]]]


Am I right?
Is this the only and easiest way?

Are there any shortcuts for #3 and #5? e.g., is there a way to setup a block or subnet for "Full NAT" or "Additional Addresses" without having to do 1 at a time?
I remember some other firewalls having ways to NAT entire ranges (internalexternal) at once.

The Astaro docs indicate that you can put a network into the NAT source or dest, but will it be a 1-1 mapping?
I'm guessing I couldn't do the whole /24 though because of the external IP, but a /25 should work, right?

As mentioned, NAT is a company requirement, so please no arguments about that.

Thanks,
Barry


This thread was automatically locked due to age.
Parents
  • 0
    The ISP is giving us a /30 to route our traffic, so I believe the firewall can have an address on that network, and/or our /24.

    Barry
  • 0 in reply to BarryG
    Barry, I feel like you know a lot more about this stuff than most of us here, so I'm taking a chance that I won't sound too ignorant...

    I thought you could set up full NAT on the DNAT/SNAT tab, and that it would work with networks instead of just individual IPs.  Have you tried that and determined that it doesn't work?

    Cheers - Bob
  • 0 in reply to BAlfson
    PM Sent.

    FWIW, I think the process you list is the way this would have to be handled... but why do they require a NAT (or do they care to explain themselves)?  Are they doing PAT (Masquerading) in front of all this?
  • 0 in reply to BrucekConvergent
    Barry, I feel like you know a lot more about this stuff than most of us here, so I'm taking a chance that I won't sound too ignorant...

    I thought you could set up full NAT on the DNAT/SNAT tab, and that it would work with networks instead of just individual IPs.  Have you tried that and determined that it doesn't work?


    Bob, I tried (on my home ASL 7.380) to do a Full NAT, and add two networks as the source and dest, but it told me that was invalid.


    PM Sent.
    FWIW, I think the process you list is the way this would have to be handled... but why do they require a NAT (or do they care to explain themselves)?  Are they doing PAT (Masquerading) in front of all this?


    Bruce, our Corporate policy says all networks, including DMZs, must be NAT'd. Part of it has to do with PCI (and maybe SOX), but they're requiring it even for networks which are not in PCI scope.

    On the corporate LANs, they're doing PAT, and on the DMZs, they're doing 1-to-1 NAT ("STATIC", iirc).

    Thanks,
    Barry
Reply
  • 0 in reply to BrucekConvergent
    Barry, I feel like you know a lot more about this stuff than most of us here, so I'm taking a chance that I won't sound too ignorant...

    I thought you could set up full NAT on the DNAT/SNAT tab, and that it would work with networks instead of just individual IPs.  Have you tried that and determined that it doesn't work?


    Bob, I tried (on my home ASL 7.380) to do a Full NAT, and add two networks as the source and dest, but it told me that was invalid.


    PM Sent.
    FWIW, I think the process you list is the way this would have to be handled... but why do they require a NAT (or do they care to explain themselves)?  Are they doing PAT (Masquerading) in front of all this?


    Bruce, our Corporate policy says all networks, including DMZs, must be NAT'd. Part of it has to do with PCI (and maybe SOX), but they're requiring it even for networks which are not in PCI scope.

    On the corporate LANs, they're doing PAT, and on the DMZs, they're doing 1-to-1 NAT ("STATIC", iirc).

    Thanks,
    Barry
Children