Les actions sur les règles de la politique de NAT

Rechercher Ce champ permet la recherche par occurrence, lettre ou mot.

EXEMPLE
Si vous saisissez « Any » dans le champ, toutes les règles de NAT comportant « Any » s’afficheront dans la grille.

Nouvelle règle Insère une ligne à configurer après la ligne sélectionnée, 4 choix sont possibles :
  • Règle simple : Cette option permet de créer une règle de NAT inactive et qui devra être paramétrée.
  • Règle de partage d'adresse source (masquerading) : Cette option permet de créer une règle de NAT dynamique de type PAT (Port Address Translation). Ce type de règle permet une conversion d’adresse IP multiples vers une ou N adresses IP. Le port source est également réécrit ; la valeur sélectionnée par défaut est ephemeral_fw (correspondant à une plage de ports compris entre 20000 et 59999).
    L’assistant choisit en interface de destination, l’interface correspondant au réseau de cette source après translation.
  • Séparateur-regroupement de règles : Cette option permet d’insérer un séparateur au-dessus de la ligne sélectionnée.
    Ce séparateur permet de regrouper des règles qui régissent le trafic vers les différents serveurs et contribue à améliorer la lisibilité et la visibilité de la politique de NAT en y indiquant un commentaire.
    Les séparateurs indiquent le nombre de règles regroupées et les numéros de la première et dernière de ces règles. sous la forme : « Nom de la règle (contient nombre total règles, de n° première à n° dernière) ».
    Vous pouvez plier et déplier le nœud du séparateur afin de masquer ou afficher le regroupement de règle. Vous pouvez également copier / coller un séparateur d’un emplacement à un autre.
  • Règle de NAT statique (bimap) : Le principe de la translation d’adresse statique est de convertir une adresse IP (ou N adresses IP, ou adresse publique par exemple) en une autre (ou en N adresses IP privée, par exemple) lors du passage par le firewall, quelle que soit la provenance de la connexion.
    Une fenêtre d’assistant vous permet d’associer une IP privée et une IP publique (virtuelle) en définissant leurs paramètres. Vous devez choisir au sein des listes déroulantes, les Machines privées et virtuelles pour vos IP, ainsi que l’interface sur laquelle vous souhaitez les appliquer.
    Le champ de Configuration avancée permet de restreindre l’application à un port ou un groupe de ports, ainsi que d’activer la Publication ARP. Cette dernière permet de rendre disponible l’IP à publier via l’adresse MAC du firewall.
    Toutefois, il est recommandé de restreindre l’accès à un port ou un groupe de ports par le biais d’une règle de filtrage correspondant à ce flux. Cela permet d’y ajouter d’autres critères afin de rendre ce filtrage plus précis.

Cliquez ensuite sur Terminer pour valider votre configuration.

Notez que pour une règle de translation bidirectionnelle (bimap) de N vers N, les plages d’adresses, réseaux ou groupes de machines originaux et translatés doivent être de même taille.

La translation bidirectionnelle est généralement utilisée pour donner accès à un serveur depuis l'extérieur avec une adresse IP publique qui n'est pas l'adresse réelle de la machine.

Les plages d’adresses sont supportées par l’action bidirectionnelle. Les adresses sources et translatées sont utilisées dans l’ordre : la plus "petite" adresse du champ source est translatée vers la plus "petite" adresse du champ translaté.

Lors du choix de l'adresse IP virtuelle, la sélection de l'interface correspondante est automatique. Celle-ci sera utilisée en source pour la règle de redirection et en destination pour les règles de réécriture de la source.
Supprimer Ce champ permet de supprimer la ligne sélectionnée.
Monter Placer la ligne sélectionnée avant la ligne directement au-dessus.
Descendre Placer la ligne sélectionnée après la ligne directement en dessous.
Tout dérouler Étendre l’arborescence des règles.
Tout fermer Regrouper l’arborescence des règles.
Couper Couper une règle de NAT dans le but de la dupliquer.
Copier Copier une règle de NAT dans le but de la dupliquer.
Coller Dupliquer une règle de NAT, après l’avoir copié.
Chercher dans les logs Lorsqu'une règle de NAT est sélectionnée, cliquez sur ce bouton pour lancer automatiquement une recherche portant sur le nom de la règle dans la vue "Tous les journaux" (module Logs > Journaux d'audit > Vues). Si aucun nom n'a été spécifié pour la règle sélectionnée, un message d'avertissement précise que la recherche est impossible.
Chercher dans la supervision Lorsqu'une règle de NAT est sélectionnée, cliquez sur ce bouton pour lancer automatiquement une recherche portant sur le nom de la règle dans le module de supervision des connexions.
Réinitialiser les statistiques des règles En cliquant sur ce bouton, vous réinitialisez les compteurs numériques et graphiques d'utilisation des règles de NAT situés dans la première colonne de la grille.
Réinitialiser l'affichage des colonnes

Lorsque vous cliquez sur la flèche de droite dans le champ du nom d’une colonne (exemple : Etat), vous avez la possibilité d’afficher des colonnes supplémentaires ou d’en retirer afin qu’elles ne soient pas visibles à l’écran, grâce à un système de coche.

EXEMPLE
Vous pouvez cocher les cases « Nom » et « Port src » qui ne sont pas affichées par défaut.
En cliquant que le bouton réinit. colonnes, vos colonnes réapparaîtront à l’état initial, avant que vous n’ayez coché de case additionnelle. Ainsi, les cases « Nom » et « Port src » seront de nouveau masquées.

NOTE
Si vous cliquez rapidement 10 fois sur le bouton "Monter", vous distinguez la règle monter visuellement mais la fenêtre d'attente n'apparaît que lorsqu'on ne touche plus au bouton au-delà de 2 ou 3 secondes. Et au final, une seule commande sera passée. Ceci rend le déplacement des règles beaucoup plus fluide.