Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 6163 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DNAT vs Generic Proxy

gzartman
What is the benefit of using DNAT over the generic proxy for port forwarding?  I just want to forward all incoming http/https traffic to my internal web server.   Seems both DNAT and the generic proxy o it, but I wonder if one is better than the 

Thanks 

Greg


This thread was automatically locked due to age.
  • 0
    Greg, I suppose the basic downside of using a Generic Proxy is that, like a Full NAT, all of the traffic appears to come from a single IP.

    Cheers - Bob
  • 0
    And generic proxy traffic isn't loggend - as far as i know.

    Regards
    Manfred
  • 0
    Bob is right. The Source will be Translated into the Interface IP.

    From the help-site of the UTM:
    The difference to standard DNAT, however, is that a generic proxy also replaces the source IP address of a request with the IP address of the interface for outgoing connections.
  • 0
    Hi, DNAT with firewall rules is preferred by probably 99%+ users.

    Barry
  • 0
    Then it would seem that the generic proxy is what is called port forwarding on most other firewalls.  Most port forwarding iP masquerading.  Are you guys saying DNAT doesn't ip masquerade as the external interface?  If not, then what's it doing?  

    The docs don't really spell this out well.  

    Which service is best to forward http/https (80/443) to an internal web server?
  • 0 in reply to BarryG
    Hi, DNAT with firewall rules is preferred by probably 99%+ users.

    Barry


    Why?  The docs spell out the how but not why.
  • 0 in reply to gzartman
    Then it would seem that the generic proxy is what is called port forwarding on most other firewalls.  Most port forwarding iP masquerading.  Are you guys saying DNAT doesn't ip masquerade as the external interface?
     DNAT is called port forwarding on home routers. There is no masquerading of inbound traffic in either case. 

    Cheers - Bob  

    Sorry for any short responses.  Posted from my iPhone.
  • 0
    Morning,

    BobAlfson nailed the reason why DNAT is prefered over a generic proxy. Preservation of the source IP is the key here. With DNAT you keep the source IP, with the generic proxy your webserver only sees the proxies IP.

    Subtle difference but important if you apply anything to your website that depends on the client IP. Good example being bans on web based forums. A lot of places allow admins to ban IP addresses for site infractions. With the proxy you can't ban based on IP because everyone has the same IP, that of the proxy.
  • 0 in reply to BAlfson
    DNAT is called port forwarding on home routers. There is no masquerading of inbound traffic in either case. 


    Many enterprise routers call it port forwarding as well, thus my confusion.    The docs are really lacking in defining stuff like this.

    In any event, it seems DNAT is what I'm looking for.   Thanks.

    Greg