La grille de NAT

Elle vous permet de définir les règles de NAT à appliquer. Ordonnez-les afin d'avoir un résultat cohérent : le firewall va évaluer les règles dans leur ordre d’apparition à l’écran : une à une en partant du haut. Dès qu'il rencontre une règle qui correspond à la demande, il effectue l'action spécifiée et spécifiée et ne continue pas la lecture des règles suivantes.

Il convient donc de définir les règles dans l'ordre du plus restrictif au plus général.

La grille du NAT est divisée en deux : elle comporte d’une part, le Trafic original (avant translation), et d’autre part, le Trafic translaté.

Chaque règle peut être glissée et déplacée pour réorganiser aisément la politique (filtrage ou NAT). Le symbole ainsi que l'infobulle "Glissez et déplacez pour réorganiser" apparaissent lorsque la souris survole le début de la règle.

Cette colonne affiche l’état On /  Off de la règle. Double-cliquez dessus pour changer l’état : en effectuant cette manipulation une fois, vous activez la règle de NAT. Renouvelez l’opération pour la désactiver.

NOTE
La translation d’adresse source gère les protocoles IP sans état (type GRE) toutefois avec la limitation suivante :
si deux clients passent par le même firewall, ils ne pourront pas se connecter sur un même serveur en même temps. Le moteur de prévention d’intrusion Stormshield Network va bloquer les paquets reçus par le second client.
Au bout de 5 minutes, le moteur de prévention d’intrusion jugera la session trop ancienne et permettra au second client de prendre le relai.

Onglet Général de la fenêtre d'édition de la règle

Zone Général

État Sélectionnez l'état On ou Off pour respectivement activer ou désactiver la règle en cours d'édition.
Commentaire Vous pouvez saisir un commentaire : celui-ci sera affiché en toute fin de règle lors de l'affichage de la politique de translation d'adresses.

Zone Configuration avancée

Nom de la règle Vous pouvez affecter un nom à la règle de NAT: ce nom est repris dans les logs est facilité l'identification de la règle de NAT lors d'une recherche dans les logs ou vues (menu Logs - journaux d'audit).

Onglet Général

Zone Général

Utilisateur La règle s’appliquera à l’utilisateur ou au groupe d'utilisateurs que vous sélectionnerez dans ce champ.
Il en existe trois par défaut :
  • « No user » : cette option permet de vider le champ utilisateur et de ne plus y appliquer de critère pour la règle.
  • « Any user » : désigne tout utilisateur authentifié.
  • « Unknown users » : désigne tout utilisateur inconnu ou non authentifié.
Machines sources La règle s’appliquera à l’objet que vous sélectionnerez dans ce champ. La machine source est la machine d’où provient le paquet traité : elle est l’émetteur du paquet.

Vous pouvez Ajouter ou Supprimer un ou plusieurs objets en cliquant sur l’icône et Créer un objet en cliquant sur l’icône .
Interface d’entrée Interface sur laquelle s’applique la règle de translation présentée sous forme de liste déroulante. Par défaut, le firewall la sélectionne automatiquement en fonction de l'opération et des adresses IP source et destination. Il est possible de la modifier pour appliquer la règle sur une autre interface.
Il est possible de la modifier pour appliquer la règle sur une autre interface. Cela permet également de spécifier une interface particulière si « Any » a été sélectionnée comme machine source.

Cliquer sur OK pour valider votre configuration.

Onglet Configuration avancée

Zone Configuration avancée

Port source Ce champ permet de préciser le port source utilisé par la machine source.
Par défaut, le mode « Stateful » mémorise le port source utilisé et seul celui-ci est autorisé pour les paquets retour.
DSCP source Ce champ désigne le code DSCP source du paquet reçu.

Zone Authentification

Méthode d'authentification Ce champ permet de restreindre l'application de la règle de filtrage à la méthode d'authentification sélectionnée.

Cliquer sur OK pour valider votre configuration.

Onglet Général

Zone Général

Machines destinations Sélectionnez dans la base objets figurant dans la liste déroulante, la machine destinataire de votre trafic IP.
Port destination Si vous souhaitez translater le port de destination du trafic, sélectionnez en un parmi les objets de la liste déroulante. L’objet « Any » est sélectionné par défaut.

Vous pouvez Ajouter ou Supprimer un ou plusieurs objets en cliquant sur l’icône et Créer un objet en cliquant sur l’icône . Cliquer sur OK pour valider votre configuration.

NOTE
Des types d’équilibrages de charge autres que le hachage de connexion peuvent être sélectionnés avec une plage de ports de destination.

Onglet Configuration avancée

Zone Configuration avancée

Interface  de sortie Cette option permet de choisir l’interface de sortie du flux translaté.
Par défaut, le firewall la sélectionne automatiquement en fonction de l'opération et des adresses IP source et destination. Il est possible de la modifier pour restreindre la règle à une interface.
Publication ARP Cette option permet de rendre disponible l’IP à publier via l’adresse MAC du firewall.

NOTE
L’option de publication ARP est affectée à la destination originale (trafic avant translation), dont l’adresse IP est effectivement publiée, et non à la destination translatée.

Onglet Général

Zone Général

Machine source translatée La règle s’appliquera à l’objet que vous sélectionnerez dans ce champ. La machine source translatée fait référence à la nouvelle adresse IP de la machine source, après sa translation.
Port source translaté Ce champ permet de préciser le port source utilisé par la machine source après la translation.
Par défaut, le mode "Stateful" mémorise le port source utilisé et seul celui-ci est autorisé pour les paquets retour. La création d’une règle de partage d'adresse source (masquerading) assigne la valeur ephemeral_fw à ce champ.
Choisir aléatoirement le port source translaté En cochant cette option, le firewall va sélectionner de manière aléatoire le port source translaté dans la liste (ex : ephemeral_fw). Cela permet d’éviter une anticipation des connexions suivantes car les ports sources sont assignés de manière consécutive. Cela renforce ainsi la sécurité.

Cliquer sur OK pour valider votre configuration.

Onglet Configuration avancée

Zone Répartition de charge

Type de répartition Cette option permet de répartir les adresses IP sources d’émission du paquet après translation. La méthode de répartition de charge dépend de l’algorithme utilisé.

Plusieurs algorithmes de répartition de charge sont disponibles :
  • Aucune : Aucune répartition de charge ne sera effectuée.
  • Round-robin : Cet algorithme permet de répartir équitablement la charge parmi les différentes IP de la plage d’adresses sélectionnée. Chacune de ces adresses IP sources seront utilisées de façon alternée.
  • Hachage de l’IP source : Un hash de l'adresse source est effectué pour choisir l'adresse de la plage à utiliser. Cette méthode permet de garantir qu'une adresse source donnée sera toujours associée avec la même adresse de la plage.
  • Hachage de la connexion : L'utilisateur peut maintenant choisir le hachage par connexion (IP source + port source + adresse IP destination + port destination) comme méthode de répartition de charge (load balancing) dans ses règles de NAT. Cela permet aux connexions d’une source vers un même serveur, d’être réparties en fonction du port source et de l’adresse IP source.
  • Aléatoire : Le firewall sélectionne aléatoirement une adresse parmi la plage d’adresses sélectionnée
Publication ARP Cette option permet de rendre disponible l’IP à publier via l’adresse MAC du firewall.

Cliquer sur OK pour valider votre configuration.

Onglet Général

Zone Général

Machine destination translatée Ce champ permet de sélectionner la machine destinataire du paquet translaté au sein de la liste déroulante d’objets.
Port destination translaté Ce champ permet de préciser le port destination utilisé par la machine de destination.

Cliquer sur OK pour valider votre configuration.

Onglet Configuration avancée

Des types d’équilibrage de charge autres que le hachage de connexion peuvent être sélectionnés avec une plage de ports de destination.

Zone Répartition de charge

Type de répartition Cette option permet de répartir la transmission de paquets entre plusieurs adresses IP de destination. La méthode de répartition de charge dépend de l’algorithme utilisé.

Plusieurs algorithmes de répartition de charge sont disponibles :
  • Aucune : Aucune répartition de charge ne sera effectuée.
  • Round-robin : Cet algorithme permet de répartir équitablement la charge parmi les différentes IP de la plage d’adresses sélectionnée. Chacune de ces adresses IP sources seront utilisées de façon alternée.
  • Hachage de l’IP source : Un hash de l'adresse source est effectué pour choisir l'adresse de la plage à utiliser. Cette méthode permet de garantir qu'une adresse source donnée sera toujours associée avec la même adresse de la plage.
  • Hachage de la connexion : L'utilisateur peut maintenant choisir le hachage par connexion (IP source + port source + adresse IP destination + port destination) comme méthode de répartition de charge (load balancing) dans ses règles de NAT. Cela permet aux connexions d’une source vers un même serveur, d’être réparties en fonction du port source et de l’adresse IP source.
  • Aléatoire : Le firewall sélectionne aléatoirement une adresse parmi la plage d’adresses sélectionnée
Entre les ports Cette option permet de répartir la transmission de paquets entre plusieurs ports de destination. La méthode de répartition de charge dépend de l’algorithme utilisé. Les  algorithmes de répartition de charge sont les mêmes que ceux décrits que précédemment.

Cliquer sur OK pour valider votre configuration.

Zone Protocole

Selon le type de protocole que vous choisissez ici, le champ qui suivra s’affichera différemment :

Type de protocole Sélectionnez le type de protocole souhaité. Selon votre choix, la valeur des champs suivants sera différente.
  • Détection automatique du protocole (par défaut),
  • Protocole applicatif,
  • Protocole IP,
  • Protocole Ethernet.
Protocole applicatif L’intérêt de ce choix est d’appliquer une analyse applicative sur un port différent du port par défaut. Lorsque ce type de protocole est sélectionné :
  • Protocole applicatif : Choisissez le protocole souhaité dans la liste déroulante.
  • Protocole IP : le ou les protocoles IP concernés changent selon le protocole applicatif sélectionné.
Protocole IP Lorsque ce type de protocole est sélectionné :
  • Protocole applicatif : Aucune analyse applicative.
  • Protocole IP : Choisissez le protocole souhaité dans la liste déroulante. Des champs supplémentaires peuvent apparaître selon le protocole sélectionné.
Protocole Ethernet Lorsque ce type de protocole est sélectionné , choisissez le protocole Ethernet souhaité dans la liste déroulante.
Niveau de trace Le traçage des flux permet de faciliter le diagnostic et le dépannage. Ce résultat sera stocké dans les fichiers de traces de type filtrage.
NAT dans le tunnel IPsec (avant chiffrement, après déchiffrement) Si l'option est cochée, la politique de chiffrement est appliquée sur le trafic translaté. L’opération de NAT est effectuée juste avant le chiffrement par le module IPsec à l'émission et après le déchiffrement des paquets à la réception.

Vous pouvez ajouter une description permettant de distinguer plus facilement votre règle de NAT et ses caractéristiques.

Le commentaire des nouvelles règles indique la date de création et l'utilisateur l’ayant créée si celui-ci n’est pas le compte « admin », sous la forme « Créée le {date}, par {login} ({adresse IP}) ». Ce renseignement automatique peut être désactivé en décochant l’option «Commentaires des règles avec date de création (Filtrage et NAT) - (Comments about rules with creation date (Filtering and NAT) » l’option proposée dans le module Préférences.