Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 13 replies
  • Subscribers 2 subscribers
  • Views 3138 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

New 1:1 Nat Question

PeterRL
Hi All,

I´ve been reading some articles here on the forum related to the NAT 1:1. 

This is a "very" begginners questions, and probably the answer is very logical, but until now, i was not able to take any conclusion.

Currently my setup consists on two HA ASG 320 version 9.108-23. 

I need to make a NAT 1:1 to the traffic that comes from internal networks when the destination it´s a specific destination net (10.x.x.x/8). Assuming that the source network is 192.168.x.x/16, i need to "translate" to 10.10.x.x/16

 Currently, the HA UTM is working as a second firewall layer (networks - UTM - Checkpoint - Wan), and it´s providing webfiltering in Standart mode, email protection, and also it´s publishing the OWA).

The idea, is that after the connections are NATed (1:1) the checkpoint firewall, will deliver those, to another router that will route the traffic to the pretended destination network.

The destination network to whom i need to make the NAT 1:1, it´s used to access some services (some of them, provided by HTTP). 

My questions, are:

a) Considering that i´m using the WebProxy in Standard mode, can i use the proxy exceptions to make sure the connection made by browsers from the PC´s from the inside, are performed by the firewall , thus making it possible that the NAT 1:1 is made sucessfully. I need to make sure that the IP from the HTTP requests, are also nated in this way.

b) What can be the impact, on the currently existing masquerad/SNAT/DNAT rules, that i have. 

Any help would be greatly appreciated [:D]


This thread was automatically locked due to age.
  • 0
    The other "trick" is that automatic firewall rules are first in any portion of the flow (#2 in https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/22065).

    Cheers - Bob

  • 0
    Hi Bob, could you edit your Rulz post and add that image?
    I never can find it when I need it.

    Thanks,
    Barry
  • 0 in reply to BAlfson
    I think the answer may be to use a Parent Proxy.  Then again, depending on the FQDNs and IPs involved with the external company, nothing may be needed.  If the FQDNs normally resolve to public IPs different from those the external company wants them to use, then Request Routing or Host definitions with static IPs for the FQDNs will allow the proxy to route the requests correctly.

    Does that make sense?

    Cheers - Bob


    As far as i know, the access to the external network is provided by a link between the two companies - i´m trying to get more information on regards this.

    Despite that i also thought about using parent proxy, but as far as i´ve read, the parent proxy setting can only be used when specifying a host (not a network - i confirmed this with support [:(] ).

    The thing that i´ve remember, was to use proxy exceptions (on the GPO that is being used to configure the proxy settings in the UTM). If i use this to exclude proxy, when the access is made to the external company network, the petition is made directly to the Gateway, right? If i set the gateway to the be the UTM, those requests will be managed by the firewall, correct? (thus, i could use the NAT 1:1) ?

    Let know what you guys think (thank you so much in adavance) [:)]