Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 4117 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Proper / Best practice for a NAT

jcw1
New to UTM and have 9.107 running
We're only licensed for Network Protection
I need to create some NATS

What is the best way/ preferred way
I don't want to use auto firewall as I cant seem to see the hidden Firewall filters.  (debugging etc)

An example is:
The resource in question is a web server on the inside that needs ports 80,443,8443 from the internet.

Network Protection:  
Full NAT:
Traffic From: Any
using service: HTTP (won't let any be used)
going to: Named defined ext host

Action:
Change destination to: Named defined int host
service to:  Http
Change source to: Named defined ext host 
service: Http

Network Firewall:  
Source: Any
Service  (Grouped Named Defined Service (80,443,8443))
Destination: Named Defined Internal Host

Or what is a better


This thread was automatically locked due to age.
  • 0
    Hi,

    Full NAT probably doesn't do what you expect...

    Instead, create a DNAT...

    From: Internet
    To: External/WAN ADDRESS
    Service: service group
    change dest to: internal host

    And keep your firewall rule as-is.

    For any outgoing traffic, you can use Masquerading (and firewall rules). 
    If you have multiple external addresses, and want to change the outgoing address, use a SNAT...

    source: internal host
    dest: Internet
    service: ANY (easiest to leave this as ANY, and use firewall rules to control)
    change source to: additional External ADDRESS

    Barry
  • 0
    Thanks Barry
    tried your suggestion of dnat


    From: Internet
    To: External/WAN ADDRESS
    Service: service group
    change dest to: internal host
    service to:  service group

    gave me an error that the service group can't be used for destination service attribute

    any thoughts ?
    Any good links for descriptions of the nat?

    OK after reading a bit I changed it to as you suggested and left the service to: as blank

    From: Internet
    To: External/WAN ADDRESS
    Service: service group
    change dest to: internal host
    service to:  

    Kept giving me the same error on saving.

    At this point both the NAt and the firewall rules were not enabled.
    However the firewall rule was for service http and not the group service ( as I was trying many different configs)

    Changed the firewall to group service
    went back to nat changed the nat to above - it saved this time without error

    Is this a bug / an unknown feature that it checks the Firewall rules against the NAT, even while the nat and firewall rules are disabled ?

    Again thanks a lot Barry
  • 0
    Hi, 

    Yes, you should leave the Dest Service blank; you don't need it unless you're trying to redirect to a different port.

    I suspect the UI has a bug where it did realize you had un-set that field and wouldn't let you save it. 
    I doubt the firewall rule was related; just exiting the screen and coming back probably would have solved it.

    Barry
  • 0
    Maybe those ports are used for other purposes like "user portal"
    Doing 3 different DNAT's you figure out where the problems is
  • 0
    Hi, jcw - welcome  to the User BB!

    Just to reinforce Barry's last post above, see #5 in https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/22065.

    Cheers - Bob
  • 0
    Thanks a lot Bob

    I read rule #5 a few times - not sure I understand it fully yet.
    Will need to spend a lot more time adjusting to UTM