Publicité
Nouvelle règle
Page 170/524
Insère une ligne à configurer après la ligne sélectionnée, 4 choix sont possibles :
Règle simple : Cette option permet de créer une règle de NAT inactive et qui devra
l
être paramétrée.
Règle de partage d'adresse source (masquerading) : Cette option permet de créer
l
une règle de NAT dynamique de type PAT (Port Address Translation). Ce type de
règle permet une conversion d'adresse IP multiples vers une ou N adresses IP. Le
port source est également réécrit ; la valeur sélectionnée par défaut est
ephemeral_fw (correspondant à une plage de ports compris entre 20000 et
59999).
L'assistant choisit en interface de destination, l'interface correspondant au réseau
de cette source après translation.
Séparateur-regroupement de règles : Cette option permet d'insérer un séparateur
l
au-dessus de la ligne sélectionnée.
Ce séparateur permet de regrouper des règles qui régissent le trafic vers les
différents serveurs et contribue à améliorer la lisibilité et la visibilité de la
politique de NAT en y indiquant un commentaire.
Les séparateurs indiquent le nombre de règles regroupées et les numéros de la
première et dernière de ces règles. sous la forme : « Nom de la règle (contient
nombre total règles, de n° première à n° dernière) ».
Vous pouvez plier et déplier le nœud du séparateur afin de masquer ou afficher le
regroupement de règle. Vous pouvez également copier / coller un séparateur d'un
emplacement à un autre.
Règle de NAT statique (bimap) : Le principe de la translation d'adresse statique
l
est de convertir une adresse IP (ou N adresses IP, ou adresse publique par
exemple) en une autre (ou en N adresses IP privée, par exemple) lors du passage
par le firewall, quelle que soit la provenance de la connexion.
Une fenêtre d'assistant vous permet d'associer une IP privée et une IP publique
(virtuelle) en définissant leurs paramètres. Vous devez choisir au sein des listes
déroulantes, les Machines privées et virtuelles pour vos IP, ainsi que l'interface
sur laquelle vous souhaitez les appliquer.
Le champ de Configuration avancée permet de restreindre l'application à un port
ou un groupe de ports, ainsi que d'activer la Publication ARP. Cette dernière
permet de rendre disponible l'IP à publier via l'adresse MAC du firewall.
Toutefois, il est recommandé de restreindre l'accès à un port ou un groupe de
ports par le biais d'une règle de filtrage correspondant à ce flux. Cela permet d'y
ajouter d'autres critères afin de rendre ce filtrage plus précis.
Cliquez ensuite sur Terminer pour valider votre configuration.
Notez que pour une règle de translation bidirectionnelle (bimap) de N vers N, les
plages d'adresses, réseaux ou groupes de machines originaux et translatés doivent
être de même taille.
La translation bidirectionnelle est généralement utilisée pour donner accès à un
serveur depuis l'extérieur avec une adresse IP publique qui n'est pas l'adresse réelle
de la machine.
Les plages d'adresses sont supportées par l'action bidirectionnelle. Les adresses
sources et translatées sont utilisées dans l'ordre : la plus "petite" adresse du champ
source est translatée vers la plus "petite" adresse du champ translaté.
Lors du choix de l'adresse IP virtuelle, la sélection de l'interface correspondante est
automatique. Celle-ci sera utilisée en source pour la règle de redirection et en
destination pour les règles de réécriture de la source.
SNS - MANUEL D'UTILISATION ET DE CONFIGURATION - V 4.6.4
sns-fr-manuel_d'utilisation_et_de_configuration-v4.6.4 - 11/04/2023
23. FILTRAGE ET NAT
Publicité
