Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 4360 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

How to setup full NAT

liug
I am trying to setup a full NAT, eg: internal 192.168.1.5, outside 1.2.3.4

The GUI isn't very clear. 

Traffic Source: (when I setup SNAT, I need to put internal address here. When I setup DNAT, I put "Any" here. What to do with full NAT?)

Traffic Service: (Again, is this for the outbound traffic, or inbound?)

Traffic Destination: 

Nat mode: full nat

Destination:
Destination Service:

Source:
Source Service:


This thread was automatically locked due to age.
  • 0
    I doubt that you really want a Full NAT if your External interface has a public IP.  Are you sure you don't want to do Masquerading?

    Cheers - Bob
  • 0 in reply to BAlfson
    I have a full /24 public IPs that I can use on the outside. Some of the internal devices want full NAT (dedicated public IP), so I just use my spare public IPs  aliases on the WAN interface NIC and setup full NAT.

    Based on the other post, it seems I need to setup both SNAT and DNAT in order to achieve full NAT. The question remains what's the purpose of the "full NAT" under the Astaro web GUI.
  • 0 in reply to liug
    Masquerading with several public IPs is currently not supported. But it will, with next feature release.
  • 0 in reply to trollvottel
    Liug, I think it depends on where the traffic is initiated.  The first part of any NAT is a traffic selector, and it applies either to traffic from A to B or from B to A, but not both.

    Whether you need DNAT and/or full NAT is difficult to tell from your post.  If, for example, you have web servers being accessed by the outside, you only need a DNAT to get the requests to the webserver.  The webserver will respond back to the Astaro, and, since the Astaro is stateful, it will send the response back out with the 'Additional Address' as the source IP on the packet.  So, unless you have other, internal network issues that require it, you don't need to define a full NAT.

    Cheers - Bob
  • 0
    Would someone mind answering the OPs question..?

    I WOULD like Full-NAT and I'm having trouble comprehending it, exactly as OP asked.

    thx!

    kc
  • 0
    KC, I guess you can tell from the above that there's a difference between Full NAT and DNAT+SNAT. The term "Full NAT" can be confusing if you take it to mean a "1-to-1 correspondance between a Private IP and a Public IP, regardless of where the traffic originates" - it isn't that at all.

    For example, one "Full NAT" rule might take an incoming packet and change both the destination of the packet and the source IP that the new destination will see.  If the device at the new destination wants to initiate a new conversation with someone else in the outside world, the Full NAT won't have any effect on that traffic.

    So, if you want all traffic to/from a particular device to have the same public IP, and that IP is different from the primary IP on the interface with the default gateway, you will need both a DNAT and a SNAT.

    One key to most everything in the Astaro is understanding that a rule doesn't get applied unless the traffic selector matches, and, once it does for a particular ruleset, no further rules are considered.  Is that any clearer?

    Cheers - Bob
    PS Here's a great example of when a "Full NAT" is useful: https://support.astaro.com/support/index.php/Accessing_Internal_or_DMZ_Webserver_from_Internal_network
  • 0
    So, FULL-NAT could kinda be considered as a FULL "spoof"..? Whatever matches the top section, the entire TCP header gets reset to whatever is in the bottom section.

    So, to make my 13 public IPs directly correspond to my 13 private IPs for ALL ports(TCP/UDP/ICMP,etc) I will need:

     13 DNATs saying Any,Any,Public ---> (Destination) Private, 

    and                                                                (one for each)

    13 SNATs saying Private,Any,Any ---> (Source) Public 



    Is that the gist of it?
  • 0
    Yes, but there's an easier solution.  Create a "public" DMZ on a separate interface so that you have External, Internal and DMZ interfaces.  On the DMZ interface, put one of your public IPs and configure the DMZ subnet for your public range (except "External (Address)" and "DMZ (Address)").  Tell your ISP to route your entire public IP range to the IP of "External (Address)" and you have what you want with very little effort, and no NATting.  Your servers are configured with their public IPs.

    I think some people refer to this as a "transfer network" - but I admit to a bit of confusion about the term.

    Cheers - Bob
  • 0
    Ah. So you are saying it is reasonable for me to expect them to use up another /30 to route from my DSL modem to my Astaro external address?

    I used to work for a small local ISP (sub-leased T1s and T3s, wi-fi campus networks, desktop/small-office server consulting). We had a mess of /30s for that purpose.

    I wonder how at&t will take that...


    thx, Bob!

    kc
  • 0
    Say, Bob! One more thing...

    If I stay with the DNAT/SNAT, my ext interface has one of my publics assigned to it, and the public network, broadcast, etc... 

    Do I also have to put all the other 12 addresses on it as "Additional Addresses" in order for it to respond for them and pass thru?

    I defined Hosts as: hostname1-EXT and hostname1-INT for each one... and I'm thinking to I have to do additional-IP1, and additional-IP2, and etc onto my EXT interface?