Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 2021 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Full NAT - why ?

samuel.lao85
Hi guys,

Ok, this configuration was in our ASG320 before my join at the company where I work for.  It is a full nat configuration to access our webserver from the public network....something like this:

1. FULL NAT (comment 1)
        Traffic Selector: ANY - http - external (wan) IP (A.A.A.A)
        Source translation: external (wan) IP (A.A.A.A)
        Destination translation: web server (B.B.B.B)
        Automatic firewall rule: disabled
        Initial packets logged: enabled

2. FULL NAT (comment 2)
        Traffic selector: ANY - service x - external (wan ) IP (A.A.A.A)
        Source translation: external (wan) IP (A.A.A.A) - service x
        Destination translation:web server (B.B.B.B) -  service x
        Automatic firewall rule: disabled
        Initial packets logged: enabled

I need to log IPs from inbound traffic, this is something that I configured on the server, but  it keeps logs from IP A.A.A.A which is the source IP used for the full nat. 

I think a DNAT configuration would help me, but I don´t know if full nat is required for web server NAT  configurations.

Thanks....


This thread was automatically locked due to age.
  • 0
    The service translation should not be used at all in the second rule.  In any case, if those rules are in the same sequence, the second one can be deleted.

    You can't use a DNAT if B.B.B.B is a public IP somewhere else.  You can use a DNAT if B.B.B.B is an IP within a subnet on another Astaro interface.

    What's the reason you want to change this?

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi my friend,

    Yes, in fact B.B.B.B is located at DMZ, which is connected on another Astaro interface.

    I want to log public IPs that enter our webserver (B.B.B.B) using the public IP A.A.A.A. I already have the program to do this in the server, it logs IPs from my LAN without problems, but if I enter through NAT it logs A.A.A.A as the source IP even if I´m at home.

    DNAT should let me log original source IP right ? 

    Thank you...
  • 0
    Correct.  You can replace that Full NAT with a DNAT.

    Cheers - Bob