Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 2 subscribers
  • Views 15369 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Creating NAT

sgkross
Hello guys I'm trying to create a NAT here but for some reason it's not working... let see I'll first let me tell you that this is a VOIP Application, and it connects to a server outside our Organization, in the following way:

Destination IP (VOIP Server): 72.*.*.*
Protocols i'm going to use: TPC/UDP
and the ports that say 1:65535, are supposed to be dynamically assigned ports, but to make sure it'll work i put them like that.
being this said ports to be used:


  • First Port: Destination IP - Protocol: UDP - Destination Port: 5060 - Source IP: Internal network - Source port 5060 - Service name:Voice Signaling
  • Second Port: Destination IP - Protocol: UDP - Destination Port: 6000:10000 - Source IP: Internal network - Souce Port: 1:65535 - Service name: Voice Traffic
  • Third Port: Destination IP - Protocol: TCP - Destination Port: 80,443 - Source IP: Internal network - Souce Port: 1:65535 - Service name: Web
  • Fourth Port: Destination IP - Protocol: TCP - Destination Port: 1024:65535 - Source IP: Internal network - Souce Port: 1:65535 - Service name: RMI, Web


I have created them like the services as displayed:


but when I try to create the NAT I have no clue if I should use DNAT or FULL NAT or SNAT, y tried DNAT like this:



no clue why is not working, but i'll really appriciate any comments, thanks


This thread was automatically locked due to age.
Parents
  • 0
    The DNAT is wrong for several reasons, but your description of the service indicates that you won't need it anyway.  You didn't say, but I assume that "Five9 Network" is a group of public IPs used by the Five9 servers.

    It looks like all you need is a Masquerading rule 'Internal (Network) -> External' and to allow outbound traffic with a packet filter rule.  I suggest you put all of the outbound services into a service group named "Five9 Services" and create a single PF rule 'Internal (Network) -> Five9 Services -> Five9 Network : Allow'.

    If I've misunderstood and you need to allow some inbound traffic then you will need a DNAT, but remember that the Astaro is a stateful firewall - it tracks the connections and requests it makes, and allows responses to pass without additional PF rules.  This is different, for example, from the rudimentary firewall in most home routers where you must open ports in both directions manually.

    Cheers - Bob
Reply
  • 0
    The DNAT is wrong for several reasons, but your description of the service indicates that you won't need it anyway.  You didn't say, but I assume that "Five9 Network" is a group of public IPs used by the Five9 servers.

    It looks like all you need is a Masquerading rule 'Internal (Network) -> External' and to allow outbound traffic with a packet filter rule.  I suggest you put all of the outbound services into a service group named "Five9 Services" and create a single PF rule 'Internal (Network) -> Five9 Services -> Five9 Network : Allow'.

    If I've misunderstood and you need to allow some inbound traffic then you will need a DNAT, but remember that the Astaro is a stateful firewall - it tracks the connections and requests it makes, and allows responses to pass without additional PF rules.  This is different, for example, from the rudimentary firewall in most home routers where you must open ports in both directions manually.

    Cheers - Bob
Children
No Data