Rubriques Connexes
Configurer la traduction d'adresses réseau statique
Le principe de NAT statique, appelé également transfert de port, est une traduction d'adresses réseau port à hôte. Avec le NAT statique, lorsqu'un hôte envoie un paquet depuis un réseau vers un port d'une interface facultative ou externe, le NAT statique change l'adresse IP de destination en une adresse IP et port se trouvant derrière le pare-feu. Si une application logicielle utilise plusieurs ports et que ces ports sont sélectionnés de façon dynamique, utilisez une règle 1-to-1 NAT ou vérifiez si un proxy sur votre Firebox peut gérer ce type de trafic. La NAT statique fonctionne également sur les connexions provenant des réseaux que votre Firebox protège.
Vous pouvez configurer la NAT statique pour les connexions à une interface facultative ou externe du Firebox. La traduction d'adresses réseau statique pour une interface facultative est prise en charge dans le système d'exploitation Fireware v11.8.1 et ultérieure. Vous ne pouvez pas configurer de NAT statique pour les connexions à une interface approuvée ou personnalisée. Vous ne pouvez pas configurer de NAT statique pour les BOVPN ou les connexion VPN mobiles.
Vous ne pouvez pas configurer une traduction d'adresses réseau statique pour une interface facultative dans un Modèle de Configuration de Périphérique. Pour obtenir davantage d'informations sur la configuration d'une action SNAT dans un Modèle de Configuration de Périphérique, consultez Configurer une action SNAT.
Lorsque vous utilisez une NAT statique, les connexions vers un serveur interne peuvent être adressées à une adresse IP d'interface du Firebox au lieu de l'adresse IP actuelle du serveur. Par exemple, vous pouvez placer votre serveur de messagerie SMTP derrière votre Firebox avec une adresse IP privée et configurer la traduction d'adresses réseau statique dans votre stratégie SMTP. Votre Firebox reçoit les connexions sur le port 25 et envoie les connexions SMTP vers l'adresse réelle du serveur SMTP situé derrière le Firebox.
Si votre périphérique fonctionne sous le système d'exploitation Fireware v11.0 à v11.3.x, les étapes de configuration de la traduction d'adresses réseau statique dans Policy Manager sont différentes. Pour plus d'informations, reportez-vous à la rubrique À propos de la traduction d'adresses réseau statique dans l'aide de Fireware XTM WatchGuard System Manager v11.3.x.
Lorsque vous ajoutez une action NAT statique, vous pouvez indiquer une adresse IP source dans l'action. Ensuite, lorsqu'une connexion correspondant aux paramètres de votre action NAT statique est reçue par votre Firebox, il modifie l'adresse IP source par l'adresse IP que vous avez spécifiée. Vous pouvez spécifier une adresse IP source différente pour chaque membre SNAT.
Vous pouvez également activer la traduction d'adresses de port (PAT, Port Adress Translation) dans une action NAT statique. Lorsque vous activez le routage PAT, vous pouvez modifier la destination du paquet afin de d'indiquer un hôte interne différent et un port différent.
Pour voir comment configurer une règle de NAT statique, regardez le Tutoriel Vidéo Introduction à la NAT.
Ajouter une action NAT statique
Dans Fireware Web UI, vous devez définir une action de traduction d'adresses réseau statique avant de pouvoir l'utiliser dans une ou plusieurs stratégies.
- Sélectionnez Pare-feu > SNAT.
La page SNAT s'affiche. - Cliquez sur Ajouter.
La page Ajouter SNAT s'affiche.
- Dans la zone de texte Nom, entrez un nom pour cette action SNAT.
- (Facultatif) Dans la zone de texte Description, saisissez une description pour cette action SNAT.
- Sélectionnez NAT statique.
Il s'agit de la sélection par défaut. - Cliquez sur Ajouter.
La boîte de dialogue Ajouter un membre s'affiche.
- Depuis la liste déroulante Adresse IP facultative/externe, sélectionnez l'adresse IP ou l'alias d'une interface facultative ou externe à utiliser dans cette action.
Par exemple, pour utiliser la traduction d'adresses réseau statique pour les paquets adressés à une seule adresse IP externe, sélectionnez cette adresse IP externe ou son alias. Sinon, pour utiliser la traduction d'adresses réseau statique pour les paquets adressés à n'importe quelle interface IP facultative, sélectionnez l'alias Tout-Facultatif.
- Pour spécifier l'adresse IP source pour cette action de traduction d'adresses réseau statique, cochez la case Définir l'IP source. Saisissez l'adresse IP source à utiliser dans la zone de texte adjacente.
- Dans la zone de texte Adresse IP interne, saisissez la destination sur le réseau approuvé ou facultatif.
- Pour activer la traduction d'adresses de port (PAT), cochez la case Définir un autre port interne. Dans la zone de texte adjacente, tapez ou sélectionnez le numéro de port.
Si vous utilisez une action SNAT dans une stratégie qui autorise un type de connexion autre que TCP ou UDP, la configuration du port interne n'est pas utilisée pour cette connexion.
- Cliquez sur OK.
La route de la traduction d'adresses réseau statique s'affiche dans la liste Membres SNAT. - Pour ajouter un autre membre à cette action, cliquez sur Ajouter et répétez les étapes 7 à 12.
- Cliquez sur Sauvegarder.
La nouvelle action SNAT apparaît dans la page SNAT.
Dans Policy Manager, vous pouvez créer une action NAT statique et l'ajouter à une stratégie, ou vous pouvez créer l'action NAT statique depuis la configuration d'une stratégie.
- Sélectionnez Configuration > Actions > SNAT.
La boîte de dialogue SNAT apparaît. - Cliquez sur Ajouter.
La boîte de dialogue Ajouter SNAT apparaît.
- Dans la zone de texte Nom SNAT, saisissez un nom pour cette action SNAT.
- (Facultatif) Dans la zone de texte Description, saisissez une description pour cette action SNAT.
- Sélectionnez NAT statique.
Il s'agit de la sélection par défaut. - Cliquez sur Ajouter.
La boîte de dialogue Ajouter la traduction d'adresses réseau statique s'affiche.
- Depuis la liste déroulante Adresse IP facultative/externe, sélectionnez l'adresse IP ou l'alias d'une interface facultative ou externe à utiliser dans cette action.
Par exemple, pour utiliser la traduction d'adresses réseau statique pour les paquets adressés à une seule adresse IP externe, sélectionnez cette adresse IP externe ou son alias. Sinon, pour utiliser la traduction d'adresses réseau statique pour les paquets adressés à n'importe quelle interface IP facultative, sélectionnez l'alias Tout-Facultatif.
- Pour spécifier l'adresse IP source pour cette action de traduction d'adresses réseau statique, cochez la case Définir l'IP source. Saisissez l'adresse IP source à utiliser dans la zone de texte adjacente.
- Dans la zone de texte Adresse IP interne, saisissez la destination sur le réseau approuvé ou facultatif.
- Pour activer la traduction d'adresses de port (PAT), cochez la case Définir un autre port interne. Dans la zone de texte adjacente, tapez ou sélectionnez le numéro de port.
Si vous utilisez une action SNAT dans une stratégie qui autorise les connexions autres que TCP ou UDP, la configuration du port interne n'est pas utilisée pour cette connexion.
- Cliquez sur OK.
La route de la traduction d'adresses réseau statique s'affiche dans la liste Membres SNAT. - Pour ajouter un autre membre à cette action, cliquez sur Ajouter et répétez les étapes 7 à 12.
- Cliquez sur OK.
La nouvelle action SNAT apparaît dans la boîte de dialogue SNAT.
Ajouter une action de traduction d'adresses réseau statique à une stratégie
Après avoir ajouté une action SNAT, vous pouvez l'utiliser dans une ou plusieurs stratégies.
- Sélectionnez Pare-feu > Stratégies de Pare-feu.
- Cliquez sur le nom d'une stratégie pour la modifier.
- Dans la liste déroulante Les connexions sont, sélectionnez Autorisées.
Pour utiliser la NAT statique, la stratégie doit autoriser les connexions entrantes. - Dans la section Vers, cliquez sur Ajouter.
La boîte de dialogue Ajouter un membre s'affiche.
- Dans la liste déroulante Type de membre, sélectionnez NAT statique.
Une liste des actions de traduction d'adresses réseau statique configurées apparaît. - Sélectionnez l'action NAT statique à ajouter à cette stratégie. Cliquez sur OK.
La route de la traduction d'adresses réseau statique apparaît dans la section À de la configuration de la stratégie. - Cliquez sur Sauvegarder.
- Double-cliquez sur une stratégie pour la modifier.
- Dans la liste déroulante Les connexions sont, sélectionnez Autorisées.
Pour utiliser la NAT statique, la stratégie doit autoriser les connexions entrantes. - Dans la section Vers, cliquez sur Ajouter.
La boîte de dialogue Ajouter une adresse s'affiche. - Cliquez sur Ajouter SNAT.
La boîte de dialogue SNAT apparaît, affichant une liste des actions d'équilibrage de charge côté serveur et des actions NAT statiques configurées.
- Sélectionnez l'action SNAT configurée à ajouter. Cliquez sur OK.
Vous pouvez aussi cliquer sur Ajouter pour définir une nouvelle action NAT statique. Suivez les étapes de la section Configurer la traduction d'adresses réseau statique pour configurer l'action NAT statique. - Cliquez sur OK pour fermer la boîte de dialogue SNAT.
La route de l'action NAT statique s'affiche dans la liste Membres et adresses sélectionnés.
- Cliquez sur OK pour fermer la boîte de dialogue Ajouter une adresse.
- Cliquez sur OK pour fermer la boîte de dialogue Propriétés de la stratégie.
Modifier ou Supprimer une Action NAT Statique
Vous pouvez modifier une action SNAT de la liste des actions SNAT.
- Sélectionnez Pare-feu > SNAT.
La page SNAT apparaît. - Sélectionnez une action SNAT.
- Cliquez sur Modifier.
La page Modifier SNAT apparaît. - Modifier une action SNAT.
Quand vous modifiez une action SNAT, tous les changements s'appliquent à l'ensemble des stratégies qui utilisent ladite action SNAT. - Cliquez sur Enregistrer.
- Sélectionner Configuration > Actions > SNAT.
La boîte de dialogue SNAT apparaît. - Sélectionnez une action SNAT.
- Cliquez sur Modifier.
La page Modifier SNAT apparaît. - Modifier une action SNAT.
Quand vous modifiez une action SNAT, tous les changements s'appliquent à l'ensemble des stratégies qui utilisent ladite action SNAT. - Cliquez sur OK.
Dans Policy Manager, vous pouvez aussi modifier une action SNAT lorsque vous modifiez une stratégie.
- Double-cliquez sur une stratégie pour la modifier.
La boîte de dialogue Modifier les Propriétés de la Stratégie apparaît, avec l'onglet Stratégie sélectionné. - Dans la section À, sélectionnez l'action SNAT que vous souhaitez modifier.
- Cliquez sur Modifier.
La boîte de dialogue Modifier SNAT apparaît. - Modifier une action SNAT.
Quand vous modifiez une action SNAT dans une stratégie, les changements s'appliquent à l'ensemble des stratégies qui utilisent cette action SNAT. - Cliquez sur OK.
Vous pouvez supprimer une action SNAT qui n'est pas utilisée par une stratégie.
- Sélectionnez Pare-feu > SNAT.
La page SNAT apparaît - Sélectionner une action SNAT.
- Cliquez sur Supprimer.
Une boîte de dialogue de confirmation apparaît. - Cliquez sur OK pour confirmer que vous souhaitez supprimer l'action SNAT.
- Sélectionnez Configuration > Actions > SNAT.
La boîte de dialogue SNAT apparaît. - Sélectionnez une action SNAT.
- Cliquez sur Supprimer.
Une boîte de dialogue de confirmation apparaît. - Cliquez sur Oui pour confirmer que vous souhaitez supprimer l'action SNAT.
- Cliquez sur OK.
Modifier les Paramètres Globaux d'une Traduction d'Adresses Réseau Statique
Par défaut, le Firebox ne supprime pas les connexions actives lorsque vous modifiez une action NAT statique. Vous pouvez changer les paramètres SNAT globaux pour que le Firebox supprime les connexions actives qui utilisent l'action SNAT que vous modifiez.
Pour modifier les paramètres SNAT globaux dans Fireware Web UI ou Policy Manager :
- Sélectionnez Installation > Paramètres Globaux.
- Sélectionnez Système > Paramètres Globaux.
- Sélectionnez l'onglet Networking (Gestion de réseau).
- Dans la section Flux du trafic, cochez la case Lorsqu'une action SNAT est modifiée, supprimer les connexions actives qui utilisent cette action SNAT.
Voir aussi
Configurer la traduction d'adresses réseau (NAT) pour une stratégie
Exemple de configuration — Serveur Web public derrière un périphérique XTM
Exemple de fichiers de configuration — Serveur Web public derrière un périphérique XTM