Interface GRETAP

Les tunnels reposant sur des interfaces GRETAP permettent d’encapsuler du trafic de niveau 2 (Ethernet). Ils peuvent ainsi être utilisés pour relier au travers d’un bridge des sites partageant un même plan d’adressage IP ou pour le transport de protocoles non IP sur un bridge.

Ajouter une interface GRETAP

  1. Cliquez sur Ajouter.
  2. Cliquez sur Interface GRETAP.
    L'interface GRETAP est ajoutée aux interfaces et son panneau de configuration s’affiche.

Panneau de configuration d'une interface GRETAP

Pour ouvrir le panneau de configuration d'une interface GRETAP, faites un double-clic dessus. Le panneau de configuration dispose de plusieurs onglets.

État

ON / OFF

Positionnez le sélecteur sur ON / OFF pour activer ou désactiver l'interface.
Désactiver une interface la rend inutilisable. Une interface désactivée (car non utilisée, déployée ultérieurement, ...) est une mesure de sécurité supplémentaire contre les intrusions.

Paramètres généraux

Nom Nom de l'interface. Vous pouvez le modifier si souhaité.
Commentaire Permet de donner un commentaire pour l'interface.
Cette interface est

Une interface peut être :

  • Interne (protégée) : en choisissant cette option, vous indiquez le caractère protégé de l’interface (matérialisé par un bouclier). Une interface protégée n’accepte que les paquets provenant d’un plan d’adressage connu, tel qu’un réseau directement connecté ou un réseau défini par une route statique. Cette protection comprend une mémorisation des machines connectées à cette interface, des mécanismes de sécurisation du trafic conventionnel (TCP) et des règles implicites pour les services proposés par le firewall comme le DHCP.

  • Externe (publique) : en choisissant cette option, vous indiquez que l’interface est dépourvue des protections d’une interface protégée et peut donc recevoir des paquets provenant de n’importe quel plan d’adressage (qui ne font pas partie des plans d’adresses des interfaces internes). Ce type d’interface est utilisé principalement pour connecter le firewall à Internet.

Adresse du tunnel GRETAP

Source du tunnel Sélectionnez l’objet réseau correspondant au bridge qui supporte l’interface GRETAP.
Destination du tunnel Sélectionnez (ou créez) l’objet réseau correspondant à l’adresse publique de l’équipement qui héberge l’interface GRETAP distante.

Plan d’adressage

Plan d’adressage hérité du bridge En choisissant cette option, l'interface fait partie d'un bridge. Plusieurs paramètres sont alors hérités du bridge (comme le plan d'adressage). Ce choix débloque l'accès au champ Bridge. Sélectionnez dans ce champ le bridge parent de l'interface.
Dynamique / Statique

En choisissant cette option, vous indiquez que l'adresse IP de l'interface est dynamique (obtenue par DHCP) ou fixe (statique). Ce choix débloque l'accès au champ Adresse IPv4.
IP dynamique (obtenue par DHCP)

En choisissant cette option, l’adresse IP de l'interface est définie par DHCP. Une zone Configuration DHCP avancée apparaît avec les paramètres suivants :

  • Nom DNS (facultatif) : vous pouvez indiquer un nom d’hôte DHCP pleinement qualifié (FQDN) pour la requête DHCP.

    Si ce champ est rempli et que le serveur DHCP externe possède l’option de mise à jour automatique du serveur DNS, alors le serveur DHCP met automatiquement à jour le serveur DNS avec le nom fourni par le firewall, l’adresse IP qui lui a été fournie et la durée du bail alloué (champ ci-dessous).

  • Durée de bail demandée (secondes) : en complément du nom DNS, indiquez une période de conservation de l'adresse IP avant renégociation.

  • Demander les serveurs DNS au serveur DHCP et créer les objets machines : cochez ce paramètre pour que le firewall récupère les serveurs DNS auprès du serveur DHCP (fournisseur d’accès par exemple) qui lui a fourni son adresse IP. L'activation de cette option entraîne la création de deux objets : Firewall_<nom de l’interface>_dns1 et Firewall_<nom de l’interface>_dns2. Ils peuvent ainsi être utilisés dans la configuration du service DHCP. Ainsi, si le firewall offre un service DHCP aux utilisateurs de son réseau, les utilisateurs seront crédités des serveurs DNS fournis par le fournisseur d’accès.
IP fixe (statique)

En choisissant cette option, l'adresse IP de l'interface est fixe (statique). Une grille apparaît dans laquelle vous devez ajouter l'adresse IP et son masque de sous-réseau. Il est possible d'ajouter plusieurs adresses IP et masques associés (besoin de création d’alias par exemple). Ces alias peuvent vous permettre d’utiliser le firewall comme un point de routage central. De ce fait, une interface peut être connectée à différents sous-réseaux ayant un adressage différent.

Si vous ajoutez plusieurs adresses IP (alias) dans le même plan d'adressage, il est impératif que ces adresses aient toutes le même masque. Le rechargement de la configuration réseau appliquera ce masque sur la première adresse, et un masque de /32 sur les suivantes.

Autres paramètres

MTU Longueur maximale (en octets) des paquets émis sur le support physique (Ethernet) afin que ceux-ci soient transmis en une seule fois (sans fragmentation). Ce choix n’est pas disponible pour une interface contenue dans un bridge.
Adresse physique (MAC) Permet de spécifier une adresse MAC pour une interface plutôt que d’utiliser l’adresse allouée par le firewall. Si l’interface est contenue dans un bridge, dans ce cas, elle possède la même adresse MAC que lui.

Routage sans analyse

Cette zone apparaît seulement si l'option Plan d’adressage hérité du bridge est cochée dans le champ Adressage de l'onglet Configuration générale.

Autoriser sans analyser Permet de laisser passer les paquets IPX (réseau Novell), NetBIOS (sur NETBEUI), paquets AppleTalk (pour les machines Macintosh), PPPoe ou IPv6 entre les interfaces du pont. Aucune analyse ou aucun filtrage de niveau supérieur n’est réalisé sur ces protocoles (le firewall bloque ou laisse passer).

Routage par interface

Cette zone apparaît seulement si l'option Plan d’adressage hérité du bridge est cochée dans le champ Adressage de l'onglet Configuration générale.

Préserver le routage initial

Cette option demande au firewall de ne pas modifier la destination dans la couche Ethernet lorsqu'un paquet le traverse. Le paquet sera réémis à destination de la même adresse MAC qu'à la réception. Le but de cette option est de faciliter l'intégration des firewalls dans un réseau existant de manière transparente, car elle permet de ne pas avoir à modifier la route par défaut des machines du réseau interne.

LIMITATIONS CONNUES
Les fonctionnalités du firewall qui insèrent ou modifient des paquets dans les sessions par le firewall pourraient ne pas fonctionner correctement. Ces fonctionnalités sont :
  • La réinitialisation des connexions induite par une alarme,
  • Le proxy SYN (activé dans le filtrage),
  • La demande de réémission de paquets perdus afin d’accélérer l’analyse,
  • La réécriture de paquets par les analyses applicatives (SMTP, HTTP et web 2.0, FTP et NAT, SIP et NAT).
Préserver les identifiants de Vlan Cette option permet la transmission des trames taguées sans que le firewall soit une terminaison du VLAN. Le tag VLAN de ces trames est conservé ainsi le firewall peut être placé sur le chemin d’un VLAN sans pour autant que ce VLAN soit coupé par le firewall. Le firewall agit de manière complètement transparente pour ce VLAN.
Cette option requiert l’activation de l’option précédente "Préserver le routage initial".