Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 5068 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Full NAT

DannyBoy2042
I am trying to make a few services(FTP, Webserver) on internal network accessible from the outside world.  I know in v8 this guide was the best route:
Astaro Security Gateway – SNAT, DNAT, 1-to-1 NAT and Full NAT – HowTo

I now am running v9 on my ASG220 appliance an I see that Full Nat is labeled (source + destination nat)  I am a little confused on the settings that go in the following screenshot.


Let's say external address is 1.1.1.1 and internal ftp server is 10.10.10.10
&
External address is 1.1.1.2 and internal ftp server is 10.10.10.11

Ports 21 and 80 will be the same internal and external.

What goes in which blanks?  Any help would be great guys! 

I am new to Astaro/Sohpos my background is with PIX/ASA and I converting to Astaro for a new branch office.  On the pix this was a 15 second task via command line.  Having to create a DNAT and SNAT+ firewall rule is very time consuming.


This thread was automatically locked due to age.
  • 0
    PS:  I have already created "Additional Addresses" on my wan interface for "1.1.1.1" and "1.1.1.2" and I want traffic leaving to my network to appear its leaving from those address and not the default WAN address.
  • 0
    Hi,

    Full NAT is mostly used when you want you LAN users to be able to access the server via its public IP. Full NAT is also often referred to as a "Loop back" ..
    Most common uses is if you have no local DNS and still are hosting mydomain.com on a local webserver which would make all clients request mydomain.com on the firewalls public IP.
    Will explain this if this is what you are trying to achieve.

    If this is not your case, but you just want the more ordinary accesss from the internet on a given port to a server use DNAT insted.
    To solve the Public IP issue ( different public IP than your default external WAN ), you can either create a SNAT or more simply just define this in the NAT masquerading for the server.

    Hope this helps, but keep in mind there are many different ways to configure this.
  • 0
    Hi, and welcome to the User BB!

    Your Pix knowledge will help you understand as you move forward.  The time savings aren't in the small details such as this one, but in the ability to make a change and have it applied everywhere automatically.

    Like vels says, a "Full NAT" is not the same as DNAT+SNAT, which is what you want.  Two habits that you need to have moving forward:
    [LIST=1]
    • Never bind a Host/Network definition to an interface; always leave it with 'Interface: >'
    • In a NAT rule, when a destination/source/service isn't to be changed, leave the corresponding 'Action' field empty.
    [/LIST]

    Cheers - Bob