Modifier une interface Ethernet (en mode Bridge)

Une interface appartenant à un bridge est représentée sous forme de nœud fils par rapport au bridge. Un bridge peut donc contenir plusieurs nœuds fils.

Vous pouvez modifier les paramètres de chaque interface appartenant ou non au bridge. Pour cela, faites un double clic sur une interface située sous un bridge ou en dehors du bridge dans la partie gauche de la fenêtre. Deux onglets s'affichent :

NOTE
Il n’est pas possible d’ajouter ou de supprimer des interfaces Ethernet.

Onglet « Configuration générale »

État

ON / OFF Positionnez le sélecteur sur ON / OFF pour activer / désactiver l'interface.
En désactivant une interface, on la rend inutilisable. Cela peut correspondre à une interface que l’on a prévu de déployer ultérieurement, mais qui n’est pas encore en activité. Une interface désactivée car non utilisée est une mesure de sécurité supplémentaire contre les intrusions.

Paramètres généraux

Nom (obligatoire) Nom associé à l’interface du bridge. (Voir l’avertissement en introduction de la section Interfaces)
Commentaire Permet de donner un commentaire pour l'interface.
Cette interface est Une interface peut être « Interne (protégée) » ou « Externe (publique) ».
Si vous sélectionnez « Interne (protégée) », vous indiquez le caractère protégé de l’interface. Cette protection comprend une mémorisation des machines connectées sur cette interface, des mécanismes de sécurisation du trafic conventionnel (TCP) et des règles implicites pour les services proposés par le Firewall comme le DHCP (voir la section Règles Implicites). Le caractère protégé de l’interface est matérialisé par un bouclier ().
Si vous sélectionnez l’option « Externe (publique) », vous indiquez que cette partie du réseau est reliée à Internet. Dans la majorité des cas, l'interface externe, reliée à Internet, doit être en mode externe. L’icône du bouclier disparaît lorsque cette option est cochée.

Plan d’adressage

Plan d’adressage hérité du Bridge Si l’interface fait partie d’un bridge, dans ce cas, il est possible de récupérer le plan d’adressage du bridge. Lorsque cette case est cochée, un champ Bridge permet alors de sélectionner le bridge parent de l'interface.
Dynamique / Statique Cochez cette case pour préciser lorsque l'adresse IP de l'interface doit être obtenue par DHCP ou fixée (statique).
Lorsque cette case est cochée, le champ Adressage IPv4 est affiché et permet de préciser ce choix d'adressage.
IP dynamique (obtenue par DHCP) Ce champ permet donc de spécifier au firewall que la configuration de l'interface (adresse IP et masque) est définie par DHCP. Dans ce cas, la zone « Configuration DHCP avancée » est active.
IP fixe (statique) En cochant cette option, l’interface a un adressage statique. Il faut dans ce cas indiquer son adresse IP et son masque de sous-réseau.

Ici, plusieurs adresses IP et masques associés peuvent être définis pour une même interface (besoin de création d’alias par exemple). Ces alias peuvent vous permettre d’utiliser ce firewall Stormshield Network comme un point de routage central. De ce fait, une interface peut être connectée à différents sous-réseaux ayant un adressage différent. Pour les ajouter ou les retirer, il suffit d’utiliser les boutons d’action Ajouter et Supprimer situés au-dessus des champs du tableau.

Il est possible d'ajouter plusieurs adresses IP (alias) dans le même plan d'adressage sur une interface. Dans ce cas, il est impératif que ces adresses aient toutes le même masque. Le rechargement de la configuration réseau appliquera ce masque sur la première adresse, et un masque de /32 sur les suivantes.

Configuration DHCP avancée

Cette zone n'est active que lorsque la case IP dynamique (obtenue par DHCP) a été cochée pour l'interface.

Nom DNS (facultatif) Vous pouvez dans ce cas indiquer un nom d’hôte DHCP pleinement qualifié (FQDN) pour la connexion (champ Nom DNS (facultatif)).
Si ce champ est rempli et que le serveur DHCP externe possède l’option de mise à jour automatique du serveur DNS, alors le serveur DHCP met à jour automatiquement le serveur DNS avec le nom fourni par le firewall, l’adresse IP qui lui a été fournie et le temps alloué (obligatoire).
Il faut également indiquer une période de conservation de l'adresse IP avant renégociation (champ Durée de bail demandée (secondes)).
Durée de bail demandée Période de conservation de l'adresse IP avant renégociation.
Demander les serveurs DNS au serveur DHCP et créer les objets machine associés Lorsque cette option est cochée, le firewall récupère les serveurs DNS auprès du serveur DHCP (fournisseur d’accès par exemple) qui lui a fourni son adresse IP.
Dès que cette option est cochée deux objets sont dynamiquement créés dans la base d’objets : Firewall_<nom de l’interface>_dns1 et Firewall_<nom de l’interface_dns2. Ils peuvent ainsi être utilisés dans la configuration du service DHCP. Ainsi si le firewall offre un service DHCP aux utilisateurs de son réseau, les utilisateurs seront crédités des serveurs DNS fournis par le fournisseur d’accès.

NOTE
Cette option est désactivée si l’option IP dynamique (obtenue par DHCP) n’est pas activée dans l’onglet Configuration de l’interface.

Onglet « Configuration avancée »

Autres paramètres

MTU Longueur maximale (en octets) de la charge utile d'une trame Ethernet afin que celle-ci soit transmise en une seule fois (sans fragmentation).
Adresse physique (MAC) Cette option vous permet de spécifier une adresse MAC pour une interface plutôt que d’utiliser l’adresse allouée par le firewall. Si l’interface est contenue dans un bridge, dans ce cas, elle possède la même adresse MAC que lui.

Média

Média Vitesse de liaison du réseau. Par défaut le firewall détecte le média automatiquement mais vous pouvez forcer l'utilisation d'un mode particulier. Les vitesses proposées sont : "Détection automatique", "10 Mb Half duplex", "10 Mb Full duplex", "100 Mb Half duplex", "100 Mb Full duplex", "1 Gbps Full duplex".

AVERTISSEMENT
Si le firewall est directement connecté à un modem ADSL, Stormshield Network vous recommande de forcer le média que vous voulez utiliser sur l’interface en question.

Bridge – Routage sans analyse

NOTE
Ce panneau n'est pas affiché si l’option Plan d’adressage hérité du bridge n’est pas cochée dans l’onglet Configuration Générale.

 

Autoriser sans analyser Permet de laisser passer les paquets IPX (réseau Novell), NetBIOS (sur NETBEUI), paquets AppleTalk (pour les machines Macintosh), PPPoe ou IPv6 entre les interfaces du pont. Aucune analyse ou aucun filtrage de niveau supérieur n’est réalisé sur ces protocoles (le firewall bloque ou laisse passer).

Bridge – Routage par interface

NOTE
Ce panneau n'est pas affiché si l’option Plan d’adressage hérité du bridge n’est pas cochée dans l’onglet Configuration Générale.

 

Préserver le routage initial Cette option demande au firewall de ne pas modifier la destination dans la couche Ethernet lorsqu'un paquet le traverse. Le paquet sera réémis à destination de la même adresse MAC qu'à la réception. Le but de cette option est de faciliter l'intégration des firewalls dans un réseau existant de manière transparente, car elle permet de ne pas avoir à modifier la route par défaut des machines du réseau interne.
Cette option doit être activée pour assurer le bon fonctionnement d'un serveur DHCP situé sur l'interface considérée et dont les réponses aux requêtes sont de type unicast.

LIMITATIONS CONNUES
Les fonctionnalités du firewall qui insèrent ou modifient des paquets dans les sessions par le firewall pourraient ne pas fonctionner correctement. Ces fonctionnalités sont :

  • La réinitialisation des connexions induite par une alarme,
  • Le proxy SYN (activé dans le filtrage),
  • La demande de réémission de paquets perdus afin d’accélérer l’analyse,
  • La réécriture de paquets par les analyses applicatives (SMTP, HTTP et web 2.0, FTP et NAT, SIP et NAT).

Préserver les identifiants de Vlan Cette option permet la transmission des trames taguées sans que le firewall soit une terminaison du VLAN. Le tag VLAN de ces trames est conservé ainsi le firewall peut être placé sur le chemin d’un VLAN sans pour autant que ce VLAN soit coupé par le firewall. Le firewall agit de manière complètement transparente pour ce VLAN.
Cette option requiert l’activation de l’option précédente "Préserver le routage initial".