Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 2809 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

NAT exception

liug
I have 4 NICs for internal, dmz1, dmz2 and WAN (default gw). I created an IP alias on the WAN NIC, and configured internal to SNAT to that IP.

A few questions:
1) Is it true that SNAT will only happen for the traffic going out of the WAN NIC? I assume the traffic to dmz1 and dmz2 won't get NATed.

2) when I ssh to the border router (on the perimeter network, outside the WAN NIC), I want the router to see my true private IP. Is it possible to create a NAT exception for the traffic from SRC internal to DST border router?

I am testing the latest v7.4 version.


This thread was automatically locked due to age.
  • 0
    Searching the forum, I see there is a "workaround" where we can create a NAT rule at an earlier position, using the same address for "Traffic Source" and "Source". Unfortunately, this hack seems only work for individual host. In my case, I want the whole Internal network.
  • 0 in reply to liug
    Can you show your SNAT and tell us what problem you are trying to solve?  Does the border router pass a public IP to the Astaro, or is the WAN IP a private one?

    CHeers - Bob
  • 0 in reply to BAlfson
    Border router's outside interface talks to ISP, inside lives on the perimeter switch where I have a few network devices, including the perimeter switch. The perimeter network has /24 public IP block.

    The WAN NIC of the Astaro box lives on the perimeter network, and the default gw is the border router inside IP.

    Astaro box has Internal NIC that is connected to the private network 192.168.0.0/16.

    The devices (border router, perimeter switch, etc) on the perimeter network has a static route for 192.168.0.0/16 via the Astaro box.

    WAN NIC of the Astaro box has quite some alias public IP addresses defined. Some of the internal hosts have full NAT configured using those IP aliases. There is also a catchall SNAT to one alias IP for the whole 192.168.0.0/16 at the end of the NAT list.  Masquerade is NOT used.

    Here is the problem:
    One of the private subnet 192.168.100.0/24 is for network administrators, monitoring software, etc. that require access to the perimeter network devices. Those Cisco devices have access list only allowing 192.168.100.0/24. So I don't want the Astaro box to SNAT those traffic.