Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 1412 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

NAT & Packet Filter - How you do it?

UrsWeiss
Hello

Until now we only had Astaros with some few rules.

Now i'm setting up our own Astaros which has around 100 active external IP's, where most of them are mapped to DMZ.
Now, my question is: How do you set up the NAT and firewall rules? In general there are two way to do it:

1.
I normally only configure the DNAT for what i use and activate "Automatic packet filter rule". So, for example: 
DNAT	[Whatever]

Traffic selector: Any => Service Group (HTTP/POP3/...) => External IP of Server

Destination translation: Server IP in DMZ


In addition to that i configure SNAT for outgoing traffic (That the server has the correct IP when it connects to the outside)

With this config i don't have to make packet filter rules myself at all.

2.
The other way would be to configure DNAT and SNAT for all ports (So that it is like a 1:1 NAT), and then only allow the ports needed within "Packet Filter".


Now i'm vary between solution 1 and 2. Can not decide whats better and easier to manage in future. So i would be interested how you normally do it in larger setups.

Thank you
Urs


This thread was automatically locked due to age.
  • 0
    Please go to Astaro Gateway Feature Requests and vote for 1-to-1 NAT as proposed by Gert.  Search on NAT, and you might see some other ideas that Astaro should add for larger customers.

    Cheers - Bob
  • 0
    I thought 1-1 NAT was promised for 7.5.
    [:(]

    Barry
  • 0 in reply to BarryG
    I would like to have 1:1 NAT too, but that was not the question at all. (I will give it a vote as soon i have some left)

    I just want to know if you prefer to make the NAT's which only includes the needed ports, and then check the "Automatic packet filter" option, or allow everything on the NAT side and then restrict it by packet filter yourself.

    At the end it does not make a big difference, but the packet filter list is much cleaner with the "Automatic packet filter" option.
  • 0
    Yeah, I've been doing Astaro long enough that I began with no opportunity for auto packet filters.  For the first year or so, I preferred the old way because it was explicit and I could clearly see what was getting through.  Then, I got "lazy" and began trying the auto rules... surprise - I still had a clear picture of what was allowed!

    Now, I never create a separate packet filter if there's any way to avoid it.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi Whity,

    just an idea:
    Transparent bridging (DMZ/External) may solve your problem.

    If set up correctly, you only have to build the packet filter rules...

    Regards,
    Thomas
  • 0
    Excellent idea, Thomas!  Has anyone used this approach?  Are there any special considerations?

    Thanks - Bob
  • 0 in reply to BAlfson
    I set up a DMZ like this a few times before. 
    There is one main consideration:
    Any communication DMZ->LAN can be a challenge without conflicting with RFC 1597.....

    So you have to create DNAT rules again for your DMZ->LAN host communication.

    But in the described environment it will be easier to manage than DNAT-rules vor every DMZ hosts.....

    Regards,
    Thomas