Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 1917 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

NAT Response Address

Colodian
Hi

In our network, there are several webserver, which should use their own WAN ip. Which type of NAT do I have to define, that the NAT translation works incoming and outgoing? The response IP should not be the gateway...

Like:

Client ----> webserver WAN IP ----> webserver IP -----> webserver WAN IP ----> Client

and not:

Client ----> webserver WAN IP ----> webserver IP -----> gateway WAN IP ----> Client


Thanks for your help!

Regards,


This thread was automatically locked due to age.
  • 0
    Why not use WAF (Web Application Firewall), Webserver Protection > Web Application Firewall > Virtual Webservers?  Exactly what it was designed for.
  • 0
    Hey Scott

    Thanks for your answer!
    Sorry, I should explain it a little bit more... The webserver has multiple services like FTP and DNS. For the webserver itselfs (Apache), I use the webserver protection, but I need some additional NAT for the other services.

    Regars,
  • 0
    You can do this with source-nat or multipath rules.

    Regards, Michael
  • 0
    Hi, Colodian, and welcome to the User BB!

    Routers must respond from the same IP that a request was received on, so you don't need to worry about creating an SNAT that does that.

    Just make additional addresses like "Web server A" and a NAT rule for each one like 'DNAT : Internet -> {services group NOT including those handled by WAF} -> External [Web server A] (Address) : to {web server A internal IP} : 'Automatic firewall rules' selected'.

    If you include HTTP/S in the services group, they will not be handled by WAF.  See #2 in Rulz.

    Cheers - Bob
    PS I would be uncomfortable exposing a DNS server to the public.  Are you certain that you need to do that?
  • 0
    Hi Bob

    Thanks for your answer! Okay, but if I would send outgoing SMTP traffic over an additional address, I need a SNAT, right?

    I've created this rule:
    SNAT: 
    Traffic selector: Internal IP -> SMTP ->Internet IPv4
    Source translation: Additional WAN-IP

    DNS: The NS is for our public domains... Atm we need it, but we switch the NS to a public provider in the next month...

    Cheers,
  • 0
    Yes, traffic originating from the server would need an SNAT if you didn't want it to originate from your primary "External (Address)," but your SNAT has no effect on response traffic from your webserver as that is handled by the connection tracker (see #2 in Rulz).

    Cheers - Bob
  • 0
    Hey Bob

    Sorry, me again.
    Is it possible to configure a "NAT uplink" between two additional interfaces? The SMTP-Server has two WAN-IPs (one for Master-ISP an one for Slave-ISP / in the UTM configured as two additional addressess). If the Master-ISP is down, the SMTP-Server should send over the Slave-ISP. Do you know what I mean?

    Thanks!