Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 3136 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

New 1:1 Nat Question

PeterRL
Hi All,

I´ve been reading some articles here on the forum related to the NAT 1:1. 

This is a "very" begginners questions, and probably the answer is very logical, but until now, i was not able to take any conclusion.

Currently my setup consists on two HA ASG 320 version 9.108-23. 

I need to make a NAT 1:1 to the traffic that comes from internal networks when the destination it´s a specific destination net (10.x.x.x/8). Assuming that the source network is 192.168.x.x/16, i need to "translate" to 10.10.x.x/16

 Currently, the HA UTM is working as a second firewall layer (networks - UTM - Checkpoint - Wan), and it´s providing webfiltering in Standart mode, email protection, and also it´s publishing the OWA).

The idea, is that after the connections are NATed (1:1) the checkpoint firewall, will deliver those, to another router that will route the traffic to the pretended destination network.

The destination network to whom i need to make the NAT 1:1, it´s used to access some services (some of them, provided by HTTP). 

My questions, are:

a) Considering that i´m using the WebProxy in Standard mode, can i use the proxy exceptions to make sure the connection made by browsers from the PC´s from the inside, are performed by the firewall , thus making it possible that the NAT 1:1 is made sucessfully. I need to make sure that the IP from the HTTP requests, are also nated in this way.

b) What can be the impact, on the currently existing masquerad/SNAT/DNAT rules, that i have. 

Any help would be greatly appreciated [:D]


This thread was automatically locked due to age.
  • 0
    a) Yes, you can make exceptions for ranges of IP's (or single hosts for both destination and source) to not use the proxy

    b) rules are processed in a top->down order, so probably you should have your 1:1 NAT high on the list.
  • 0
    Hi apijnappels,

    Thank you for the answer. I have one doubt thought. On point a), i´ve reviewed the UTM options, and i can in fact use the condition "Coming from these Source Networks", but i cannot find a option to use when the "destination networks" - because in the end, all other webproxy traffic should continue to be processed as it is right now.

    Or do you mean by using browser exception option ?
  • 0
    On Web Protection -> Web Filtering -> Tab Advanced you can enter skip transparent mode source and destination hosts/nets.
  • 0 in reply to apijnappels
    But on my configuration, i´m running the proxy in Standart Mode (SSO).

    Aren´t those settings only effective when the webproxy is running in transparent mode?
  • 0
    Yes, only in Transparent.  I can't "see" your topology, so I don't have an answer.  I can say that it's possible that you don't need 1:1 NAT - maybe not even masquerading.  Perhaps you could show a simple diagram including IP addresses and subnets or netmasks.

    Cheers - Bob
  • 0
    Hi Balfson,

    Sorry for the very late answer, but only now, the customer has provided me with the netscheme.

    So basically the .5.200 is the default gw of the network. On that router, you have one route for the internet, and another route that will forward traffic to a external company (that provides somes http based services to this client).

    Due to a internal change, this customer needs to route the traffic to this external company through the .60.62 (where the UTM is). His idea was to make a NAT 1:1 on the UTM, and by doing that, he could install a router on a DMZ in the checkpoint, where finally the traffic would be routed to the referred external company.

    The issue is that we are using Explicit Proxy on the UTM (SSO) thus, the IP is always "masked" - preventing to use the suggested method to reach to that network.
  • 0
    I think the answer may be to use a Parent Proxy.  Then again, depending on the FQDNs and IPs involved with the external company, nothing may be needed.  If the FQDNs normally resolve to public IPs different from those the external company wants them to use, then Request Routing or Host definitions with static IPs for the FQDNs will allow the proxy to route the requests correctly.

    Does that make sense?

    Cheers - Bob
  • 0
    Rethinking this, when SNATting your LAN to another subnet, you could exclude this subnet from being able to use the Web filter. Since NAT is always processed first, the translated addresses will simply be skipped by the Web filter. Of course you would need to create a firewall that allows the translated subnet to do web browsing to the destination.
  • 0
    Arno, in fact, SNAT is the last thing that happens before a packet leaves an interface.  Plus, we don't know that all traffic from specific users is to be routed to the external company's servers.

    Cheers - Bob
  • 0 in reply to BAlfson
    Arno, in fact, SNAT is the last thing that happens before a packet leaves an interface.  Plus, we don't know that all traffic from specific users is to be routed to the external company's servers.

    Cheers - Bob


    Ah, my bad. I always thought NAT is the first thing that happens.