Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 4129 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Proper / Best practice for a NAT

jcw1
New to UTM and have 9.107 running
We're only licensed for Network Protection
I need to create some NATS

What is the best way/ preferred way
I don't want to use auto firewall as I cant seem to see the hidden Firewall filters.  (debugging etc)

An example is:
The resource in question is a web server on the inside that needs ports 80,443,8443 from the internet.

Network Protection:  
Full NAT:
Traffic From: Any
using service: HTTP (won't let any be used)
going to: Named defined ext host

Action:
Change destination to: Named defined int host
service to:  Http
Change source to: Named defined ext host 
service: Http

Network Firewall:  
Source: Any
Service  (Grouped Named Defined Service (80,443,8443))
Destination: Named Defined Internal Host

Or what is a better


This thread was automatically locked due to age.
Parents
  • 0
    Hi,

    Full NAT probably doesn't do what you expect...

    Instead, create a DNAT...

    From: Internet
    To: External/WAN ADDRESS
    Service: service group
    change dest to: internal host

    And keep your firewall rule as-is.

    For any outgoing traffic, you can use Masquerading (and firewall rules). 
    If you have multiple external addresses, and want to change the outgoing address, use a SNAT...

    source: internal host
    dest: Internet
    service: ANY (easiest to leave this as ANY, and use firewall rules to control)
    change source to: additional External ADDRESS

    Barry
Reply
  • 0
    Hi,

    Full NAT probably doesn't do what you expect...

    Instead, create a DNAT...

    From: Internet
    To: External/WAN ADDRESS
    Service: service group
    change dest to: internal host

    And keep your firewall rule as-is.

    For any outgoing traffic, you can use Masquerading (and firewall rules). 
    If you have multiple external addresses, and want to change the outgoing address, use a SNAT...

    source: internal host
    dest: Internet
    service: ANY (easiest to leave this as ANY, and use firewall rules to control)
    change source to: additional External ADDRESS

    Barry
Children
No Data
Cookie Information Banner