Paramétrer le Firewall FW6

Il n'est pas nécessaire de définir des routes de retour sur ce firewall : les différents proxies activés sur les firewalls FW2 à FW5 (SSL, HTTP, SMTP/POP3/IMAP) réalisant par défaut de la translation d'adresses (case Conserver l'adresse IP source originale décochée dans le paramétrage de chacun de ces protocoles), le firewall FW6 connaît donc l'origine des paquets sources pour chacun de ces flux.

Créez une règle de filtrage autorisant les flux HTTP, HTTPS, SMTP, IMAP et POP3 à destination d'Internet. Les inspections de sécurité étant réalisées sur les firewalls ayant activé les différents proxies, la règle de sécurité du firewall FW6 pourra être en mode Firewall.

1. Dans le menu Configuration > Politique de sécurité > Filtrage et NAT, ajoutez une nouvelle règle simple.
2. Double-cliquez dans la colonne État pour le passer à On.
3. Dans la colonne Action, double-cliquez pour choisir la valeur passer pour le champ Action.
4. Dans le menu Source, pour le champ Machines sources, sélectionnez le réseau à l'origine du trafic (Network_bridge dans l'exemple).
5. Dans le menu Destination, sélectionnez l'objet Internet.
6. Dans le menu Port - Protocole, sélectionnez les objets http, https et srv_mail.
7. Dans le menu Inspection, pour le champ Niveau d'inspection, sélectionnez le mode Firewall.
8. Validez la modification de la règle.

La règle de filtrage prendra donc la forme suivante :

Créez une règle de NAT destinée à masquer les réseaux internes derrière l'adresse publique du firewall FW6.

1. Dans le menu Configuration > Politique de sécurité > Filtrage et NAT, positionnez-vous sur l'onglet IPV4 NAT.
2. Ajoutez une nouvelle règle simple.
3. Double-cliquez dans la colonne État pour le passer à On.
4. Dans la colonne Source du Trafic original, double-cliquez pour sélectionner le réseau à l'origine du trafic (Network_bridge dans l'exemple).
5. Dans le menu Destination originale sur l'onglet Général, pour le champ Machines sources, sélectionnez l'objet Internet. Pour le champ Port destination, sélectionnez l'objet Any.
6. Toujours dans le menu Destination originale sur l'onglet Configuration avancée, pour le champ Interface de sortie, sélectionnez l'interface de sortie vers Internet (interface out dans l'exemple).
7. Dans le menu Source translatée, pour le champ Machine source translatée , sélectionnez l'objet réseau correspondant à l'adresse publique du firewall FW6 (Firewall_out dans l'exemple). Pour le champ Port source translaté, choisissez l'objet ephemeral_fw et cochez la case choisir aléatoirement le port source translaté.
8. Dans le menu Destination translatée, pour le champ Machine destination translatée , laissez l'objet Any proposé par défaut.
9. Validez la modification de la règle.

La règle de NAT prendra donc la forme suivante :