Stormshield SN160 Manuel D'utilisation Et De Configuration page 167

Nouvelle règle
Page 165/464
Insérer une ligne à configurer après la ligne sélectionnée, 4 choix sont possibles :
Règle simple : Cette option permet de créer une règle de NAT inactive et qui devra
l
être paramétrée.
Règle de partage d'adresse source (masquerading) : Cette option permet de créer
l
une règle de NAT dynamique de type PAT (Port Address Translation). Ce type de
règle permet une conversion d'adresse IP multiples vers une ou N adresses IP. Le
port source est également réécrit ; la valeur sélectionnée par défaut est ephemeral_
fw (correspondant à une plage de ports compris entre 20000 et 59999).
L'assistant choisit en interface de destination, l'interface correspondant au réseau
de cette source après translation.
Séparateur-regroupement de règles : Cette option permet d'insérer un séparateur
l
au-dessus de la ligne sélectionnée.
Ce séparateur permet de regrouper des règles qui régissent le trafic vers les
différents serveurs et contribue à améliorer la lisibilité et la visibilité de la politique
de filtrage en y indiquant un commentaire.
Les séparateurs indiquent le nombre de règles regroupées et les numéros de la
première et dernière de ces règles. sous la forme : « Nom de la règle (contient
nombre total règles, de n° première à n° dernière) ».
Vous pouvez plier et déplier le nœud du séparateur afin de masquer ou afficher le
regroupement de règle. Vous pouvez également copier/coller un séparateur d'un
emplacement à un autre.
Règle de NAT statique (bimap) : Le principe de la translation d'adresse statique est
l
de convertir une adresse IP (ou N adresses IP, ou adresse publique par exemple)
en une autre (ou en N adresses IP privée, par exemple) lors du passage par le
firewall, quelle que soit la provenance de la connexion.
Une fenêtre d'assistant vous permet d'associer une IP privée et une IP publique
(virtuelle) en définissant leurs paramètres. Vous devez choisir au sein des listes
déroulantes, les Machines privées et virtuelles pour vos IP, ainsi que l'interface sur
laquelle vous souhaitez les appliquer.
Le champ de Configuration avancée permet de restreindre l'application à un port ou
un groupe de ports, ainsi que d'activer la Publication ARP. Cette dernière permet de
rendre disponible l'IP à publier via l'adresse MAC du firewall.
Toutefois, il est recommandé de restreindre l'accès à un port ou un groupe de ports
par le biais d'une règle de filtrage correspondant à ce flux. Cela permet d'y ajouter
d'autres critères afin de rendre ce filtrage plus précis.
Cliquez ensuite sur Terminer pour valider votre configuration.
NOTE
Pour une règle de translation bidirectionnelle (bimap) de N vers N, les plages
d'adresses, réseaux ou groupes de machines originaux et translatés doivent
être de même taille.
La translation bidirectionnelle est généralement utilisée pour donner accès à
un serveur depuis l'extérieur avec une adresse IP publique qui n'est pas
l'adresse réelle de la machine.
Les plages d'adresses sont supportées par l'action bidirectionnelle. Les
adresses sources et translatées sont utilisées dans l'ordre : la plus "petite"
adresse du champ source est translatée vers la plus "petite" adresse du champ
translaté.
Lors du choix de l'adresse IP virtuelle, la sélection de l'interface correspondante
est automatique. Celle-ci sera utilisée en source pour la règle de redirection et
en destination pour les règles de réécriture de la source.
SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 3
sns-fr-manuel_d'utilisation_et_de_configuration-v3.10.1 - 29/05/2020
FILTRAGE ET NAT