Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 40764 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Masquerading and NAT

InformaticaOostkamp
Hi

I'm trying to understand masquerading and NAT on the Sophos UTM. Other topics about this already exist and I did read them but I still can't completely wrap my head around it..

I don't understand the purpose masquerading serves. Let's say we want all outgoing traffic to appear coming from our WAN address 1.1.1.1 so we create a masquerading rule like this:

Internal network group --> WAN interface: use address 1.1.1.1

Why can't I just create a NAT rule:

SNAT Internal network group --> Any service --> Any: change source to 1.1.1.1

Wouldn't the result have the same result? Of course all internal traffic passing the firewall would also be NATed, so is that the difference? That you can't select a destination "Any external" and it goes for everything?

And unrelated to the previous question, how does NAT relate to WAF? If I create a virtual webserver with corresponding real webserver, does the Sophos take care of the DNAT involved or do I still need to create those rules as well?

Thanks in advance!


This thread was automatically locked due to age.
Parents
  • 0
    Hi, and welcome to the User BB!

    Think of the masquerading rule as a "fallback" SNAT - any traffic that's not already been SNATted will be by the masq rule.  I think that that isn't really what happens technically, but it's a way to understand how to think about this issue.

    To answer your second question, see #2 in Rulz.

    Cheers - Bob
    PS The best reason I can give for using masq rules is that it's a part of the "culture" around the UTM.  Not using them would make it more difficult to get help because it would confuse knowledgeable people.
Reply
  • 0
    Hi, and welcome to the User BB!

    Think of the masquerading rule as a "fallback" SNAT - any traffic that's not already been SNATted will be by the masq rule.  I think that that isn't really what happens technically, but it's a way to understand how to think about this issue.

    To answer your second question, see #2 in Rulz.

    Cheers - Bob
    PS The best reason I can give for using masq rules is that it's a part of the "culture" around the UTM.  Not using them would make it more difficult to get help because it would confuse knowledgeable people.
Children
  • 0 in reply to BAlfson
    Hi, and welcome to the User BB!

    Think of the masquerading rule as a "fallback" SNAT - any traffic that's not already been SNATted will be by the masq rule.  I think that that isn't really what happens technically, but it's a way to understand how to think about this issue.

    To answer your second question, see #2 in Rulz.

    Cheers - Bob
    PS The best reason I can give for using masq rules is that it's a part of the "culture" around the UTM.  Not using them would make it more difficult to get help because it would confuse knowledgeable people.

    Thanks for the reply!
    I am indeed using masquerading because it's the general guideline/best practice so it's not that I'm against using it or something. Just wondering what Astaro's reasoning behind implementing it like that was because it's the first time I see it in such a way (always used SNAT so far).

    Hmm, I had read the rule but didn't know under what category the WAF actually falls, is it considered one of the proxies then?