Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 5952 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Type of NAT for Cisco ASA's static identity NAT

MartinBozko
Hello
I am migrating Cisco ASA + Microsoft TMG firewall to Sophos UTM SG210 v9.305.
I have many DMZ zones.
Zone DMZ1 is connected to Cisco ASA and servers in this zone have public IP adresses.
Cisco ASA is doing static NAT to same IP address. Example:
static (rtc,outside) EXT-RTC01 EXT-RTC01 netmask 255.255.255.255

How can I do it with Sophos UTM 9.3?
Is it possible to do it with one rule per server?

Other DMZ2 zone have internal adresses 192.168.x.x and my Sophos NAT rules are:
DNAT from IPv4 internet, any service, to additional public IP fo UMT, change destination to real server address, no auto fw rule
SNAT from real server address, any service, to IPv4 internet, change destination to additional public IP fo UMT, no auto fw rule
I have DNAT+SNAT rules for all DMZ2 servers.

Can it be done easier?
Can I use FullNAT on DMZ1 or DMZ2?

Thanks
Mato


This thread was automatically locked due to age.
Parents
  • 0
    Mato, as you suspected, a Full NAT is not the same as a combination of DNAT and SNAT.

    If DMZ1 has servers with public addresses, the simplest approach is to create an interface in WebAdmin for that - no need for the Cisco ASA or any rules other than firewall allow rules in the UTM.  WebAdmin will create the necessary routes.  For example, if your servers are in 195.196.133.32/27, have your ISP route that subnet to the IP of "External (Address)" and define, for example, a DMZ1 interface 195.196.133.33.

    Cheers - Bob
Reply
  • 0
    Mato, as you suspected, a Full NAT is not the same as a combination of DNAT and SNAT.

    If DMZ1 has servers with public addresses, the simplest approach is to create an interface in WebAdmin for that - no need for the Cisco ASA or any rules other than firewall allow rules in the UTM.  WebAdmin will create the necessary routes.  For example, if your servers are in 195.196.133.32/27, have your ISP route that subnet to the IP of "External (Address)" and define, for example, a DMZ1 interface 195.196.133.33.

    Cheers - Bob
Children
No Data