La grille de NAT
Elle vous permet de définir les règles de NAT à appliquer. Ordonnez-les afin d'avoir un résultat cohérent : le firewall va évaluer les règles dans leur ordre d’apparition à l’écran : une à une en partant du haut. Dès qu'il rencontre une règle qui correspond à la demande, il effectue l'action spécifiée et spécifiée et ne continue pas la lecture des règles suivantes.
Il convient donc de définir les règles dans l'ordre du plus restrictif au plus général.
La grille du NAT est divisée en deux : elle comporte d’une part, le Trafic original (avant translation), et d’autre part, le Trafic translaté.
Chaque règle peut être glissée et déplacée pour réorganiser aisément la politique (filtrage ou NAT). Le symbole ainsi que l'infobulle "Glissez et déplacez pour réorganiser" apparaissent lorsque la souris survole le début de la règle.
Cette colonne affiche l’état On / Off de la règle. Double-cliquez dessus pour changer l’état : en effectuant cette manipulation une fois, vous activez la règle de NAT. Renouvelez l’opération pour la désactiver.
NOTE
La translation d’adresse source gère les protocoles IP sans état (type GRE) toutefois avec la limitation suivante :
si deux clients passent par le même firewall, ils ne pourront pas se connecter sur un même serveur en même temps. Le moteur de prévention d’intrusion Stormshield Network va bloquer les paquets reçus par le second client.
Au bout de 5 minutes, le moteur de prévention d’intrusion jugera la session trop ancienne et permettra au second client de prendre le relai.
Onglet Général de la fenêtre d'édition de la règle
Zone Général
État | Sélectionnez l'état On ou Off pour respectivement activer ou désactiver la règle en cours d'édition. |
Commentaire | Vous pouvez saisir un commentaire : celui-ci sera affiché en toute fin de règle lors de l'affichage de la politique de translation d'adresses. |
Zone Configuration avancée
Nom de la règle | Vous pouvez affecter un nom à la règle de NAT: ce nom est repris dans les logs est facilité l'identification de la règle de NAT lors d'une recherche dans les logs ou vues (menu Logs - journaux d'audit). |
Onglet Général
Zone Général
Utilisateur | La règle s’appliquera à l’utilisateur ou au groupe d'utilisateurs que vous sélectionnerez dans ce champ. Il en existe trois par défaut :
|
Machines sources | La règle s’appliquera à l’objet que vous sélectionnerez dans ce champ. La machine source est la machine d’où provient le paquet traité : elle est l’émetteur du paquet. Vous pouvez Ajouter ou Supprimer un ou plusieurs objets en cliquant sur l’icône et Créer un objet en cliquant sur l’icône . |
Interface d’entrée | Interface sur laquelle s’applique la règle de translation présentée sous forme de liste déroulante. Par défaut, le firewall la sélectionne automatiquement en fonction de l'opération et des adresses IP source et destination. Il est possible de la modifier pour appliquer la règle sur une autre interface. Il est possible de la modifier pour appliquer la règle sur une autre interface. Cela permet également de spécifier une interface particulière si « Any » a été sélectionnée comme machine source. |
Cliquer sur OK pour valider votre configuration.
Onglet Configuration avancée
Zone Configuration avancée
Port source | Ce champ permet de préciser le port source utilisé par la machine source. Par défaut, le mode « Stateful » mémorise le port source utilisé et seul celui-ci est autorisé pour les paquets retour. |
DSCP source | Ce champ désigne le code DSCP source du paquet reçu. |
Zone Authentification
Méthode d'authentification | Ce champ permet de restreindre l'application de la règle de filtrage à la méthode d'authentification sélectionnée. |
Cliquer sur OK pour valider votre configuration.
Onglet Général
Zone Général
Machines destinations | Sélectionnez dans la base objets figurant dans la liste déroulante, la machine destinataire de votre trafic IP. |
Port destination | Si vous souhaitez translater le port de destination du trafic, sélectionnez en un parmi les objets de la liste déroulante. L’objet « Any » est sélectionné par défaut. |
Vous pouvez Ajouter ou Supprimer un ou plusieurs objets en cliquant sur l’icône et Créer un objet en cliquant sur l’icône . Cliquer sur OK pour valider votre configuration.
NOTE
Des types d’équilibrages de charge autres que le hachage de connexion peuvent être sélectionnés avec une plage de ports de destination.
Onglet Configuration avancée
Zone Configuration avancée
Interface de sortie | Cette option permet de choisir l’interface de sortie du flux translaté. Par défaut, le firewall la sélectionne automatiquement en fonction de l'opération et des adresses IP source et destination. Il est possible de la modifier pour restreindre la règle à une interface. |
Publication ARP | Cette option permet de rendre disponible l’IP à publier via l’adresse MAC du firewall. |
NOTE
L’option de publication ARP est affectée à la destination originale (trafic avant translation), dont l’adresse IP est effectivement publiée, et non à la destination translatée.
Onglet Général
Zone Général
Machine source translatée | La règle s’appliquera à l’objet que vous sélectionnerez dans ce champ. La machine source translatée fait référence à la nouvelle adresse IP de la machine source, après sa translation. |
Port source translaté | Ce champ permet de préciser le port source utilisé par la machine source après la translation. Par défaut, le mode "Stateful" mémorise le port source utilisé et seul celui-ci est autorisé pour les paquets retour. La création d’une règle de partage d'adresse source (masquerading) assigne la valeur ephemeral_fw à ce champ. |
Choisir aléatoirement le port source translaté | En cochant cette option, le firewall va sélectionner de manière aléatoire le port source translaté dans la liste (ex : ephemeral_fw). Cela permet d’éviter une anticipation des connexions suivantes car les ports sources sont assignés de manière consécutive. Cela renforce ainsi la sécurité. |
Cliquer sur OK pour valider votre configuration.
Onglet Configuration avancée
Zone Répartition de charge
Type de répartition | Cette option permet de répartir les adresses IP sources d’émission du paquet après translation. La méthode de répartition de charge dépend de l’algorithme utilisé. Plusieurs algorithmes de répartition de charge sont disponibles :
|
Publication ARP | Cette option permet de rendre disponible l’IP à publier via l’adresse MAC du firewall. |
Cliquer sur OK pour valider votre configuration.
Onglet Général
Zone Général
Machine destination translatée | Ce champ permet de sélectionner la machine destinataire du paquet translaté au sein de la liste déroulante d’objets. |
Port destination translaté | Ce champ permet de préciser le port destination utilisé par la machine de destination. |
Cliquer sur OK pour valider votre configuration.
Onglet Configuration avancée
Des types d’équilibrage de charge autres que le hachage de connexion peuvent être sélectionnés avec une plage de ports de destination.
Zone Répartition de charge
Type de répartition | Cette option permet de répartir la transmission de paquets entre plusieurs adresses IP de destination. La méthode de répartition de charge dépend de l’algorithme utilisé. Plusieurs algorithmes de répartition de charge sont disponibles :
|
Entre les ports | Cette option permet de répartir la transmission de paquets entre plusieurs ports de destination. La méthode de répartition de charge dépend de l’algorithme utilisé. Les algorithmes de répartition de charge sont les mêmes que ceux décrits que précédemment. |
Cliquer sur OK pour valider votre configuration.
Zone Protocole
Selon le type de protocole que vous choisissez ici, le champ qui suivra s’affichera différemment :
Type de protocole | Sélectionnez le type de protocole souhaité. Selon votre choix, la valeur des champs suivants sera différente.
|
Protocole applicatif | L’intérêt de ce choix est d’appliquer une analyse applicative sur un port différent du port par défaut. Lorsque ce type de protocole est sélectionné :
|
Protocole IP | Lorsque ce type de protocole est sélectionné :
|
Protocole Ethernet | Lorsque ce type de protocole est sélectionné , choisissez le protocole Ethernet souhaité dans la liste déroulante. |
Niveau de trace | Le traçage des flux permet de faciliter le diagnostic et le dépannage. Ce résultat sera stocké dans les fichiers de traces de type filtrage. |
NAT dans le tunnel IPsec (avant chiffrement, après déchiffrement) | Si l'option est cochée, la politique de chiffrement est appliquée sur le trafic translaté. L’opération de NAT est effectuée juste avant le chiffrement par le module IPsec à l'émission et après le déchiffrement des paquets à la réception. |
Vous pouvez ajouter une description permettant de distinguer plus facilement votre règle de NAT et ses caractéristiques.
Le commentaire des nouvelles règles indique la date de création et l'utilisateur l’ayant créée si celui-ci n’est pas le compte « admin », sous la forme « Créée le {date}, par {login} ({adresse IP}) ». Ce renseignement automatique peut être désactivé en décochant l’option «Commentaires des règles avec date de création (Filtrage et NAT) - (Comments about rules with creation date (Filtering and NAT) » l’option proposée dans le module Préférences.