Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 2198 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Can you explain NAT options on UTM?

dkfischer
I need to map an external address to an internal address, and the same internal address back to the original incoming address, on a session by session basis. I cannot use automatic 1:1 mapping. I need to specify the addresses, which may not be sequential. For instance:

Internet-facing IP: 204.28.120.190/23

On a session-by-session basis:

Inbound source IP: w.x.y.z
Inbound target IP: 204.28.120.177
NAT: 204.28.120.177 (WAN) -> 10.10.10.30 (LAN)

Outbound source IP: 10.10.10.30 (LAN)
Outbound target IP: w.x.y.z
NAT: 10.10.10.30 (LAN) -> 204.28.120.177

There are a variety of options, like DNAT, SNAT, 1:1 NAT and full NAT. Does anyone know which one to choose, or how to set up a ocmbination, that works?

Thanks!


This thread was automatically locked due to age.
  • 0
    Hi, dkfischer, and welcome to the User BB!

    First, check out #0 through#5 in https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/22065.

    I'm not sure I understand your issue, but I think you want to have a public IP for each internal server:

    • Create individual Additional Addresses like 204.28.120.77/32 on the Internet-facing interface.
    • For each 10.10.10.x server, create two NAT rules:
      • DNAT : Internet -> {ports you want to allow} -> 204.28.120.x : to 10.10.10.x
      • SNAT : 10.10.10.x -> Any -> Internet : from 204.28.120.x


    If you have a lot of servers, there is a way to do this with 1:1 rules, but if that is the case, I would think you'd be better off having a DMZ with public IPs on the servers.

    Finally, I wonder if Webserver protection might not do this automatically.  That also would let you protect the servers in question.

    What does your reseller say?

    Cheers - Bob
  • 0
    Thanks for the link to Rulz, and the suggested solution.
      
    May I ask a few questions, below?

    You wrote:
    Create individual Additional Addresses ... on the Internet-facing interface.

    > Can I add Additional Addresses as a block? For instance, can I set a range like this: 204.28.120.129/25 (204.28.120.129 - 204.28.120.254)?

    You wrote:
    For each 10.10.10.x server, create two NAT rules:
            DNAT : Internet -> {ports you want to allow} -> 204.28.120.x : to 10.10.10.x
            SNAT : 10.10.10.x -> Any -> Internet : from 204.28.120.x

    > That makes sense, but is x the same number wherever it is shown? 
    > For instance, where you show:
    > 204.28.120.x : to 10.10.10.x
    > would I be restricted to, say, 
    > 204.28.120.150 : to 10.10.10.150
    > or would I be able to do something like this:
    > 204.28.120.150 : to 10.20.90.36  ?

    > In any case, would the source IP of outbound packets from an internal server be 
    > reverse-mapped with the source IP of their corresponding inbound IP? 
    > Would this be the case, for example:
    > Inbound: 204.28.120.150 : to 10.20.90.36
    > Outbound: 10.20.90.36 : to 204.28.120.150 ?
    > Or, would this be the case:
    > Inbound: 204.28.120.150 : to 10.20.90.36
    > Outbound: 10.20.90.36 : to 204.28.120.190
    > where 204.28.120.190 is the primary IP assigned to the Internet-facing interface of the UTM?

    Thanks again,
    - Dave
  • 0
    No, one IP at a time - see #4 in Rulz.

    You're right, Dave, I should have used x for the public and y for the private IPs.

    If you're accepting inbound requests, you must send the replies from the same IP or the requestor's firewall will drop the response.  The rules I gave would result in the following:

    Inbound request: [66.77.88.99 -> HTTP -> 204.28.120.150]
    Outbound response: [204.28.120.150 -> HTTP Response -> 66.77.88.99]



    Cheers - Bob
  • 0
    Bob,

    OK! Looks like that covers it.

    Thanks,
    - Dave