Fiche savoirs : la translation d'adresses

Les réseaux privés utilisent des plages d'adresses IP qui ne sont pas routées sur Internet (RFC 1918).

Le mécanisme de NAT (Network Address Translation) permet de modifier les adresses IP source/destination et les ports source/destination d'un paquet IP pour permettre :

• à des ordinateurs d'un réseau privé d'accéder à Internet : il sagit du NAT dynamique ou NAPT ;
• d'accéder depuis internet à des serveurs d'un réseau privé : il s'agit du NAT Statique :
  • par redirection de port ;
  • ou par association d'une adresse IP publique à une adresse IP privée.

Objectif : Translater un réseau privé en une (ou plusieurs) adresse IP publique

• le paquet IP prevenant d'un ordinateur du réseau privé est modifié par le pare-feu :
  • l'adresse IP source privée de l'ordinateur est remplacée par l'adresse IP publique du pare-feu
  • le port source de l'ordinateur est remplacé par un port dans la plage [20 000 - 59 9999].

Le pare-feu garde mémoire de la correspondance de translation entre (l’adresse IP « @privA »/port source « xxxx ») et (l’adresse IP « @pub_fw »/port source 20000). Cette correspondance est utilisée pour translater les réponses en provenance du serveur WEB en remplaçant (l’adresse IP destination « @pub_fw »/port destination 2000) par (l’adresse IP destination « @privA »/port destination « xxxx »).

Objectif : Donner accès à des serveurs internes du réseau privé depuis Internet avec l'adresse adresse IP publique du pare-feu

La translation statique par port, appelé communément redirection de port, permet de rendre accessible des services hébergés dans un réseau local via une seule adresse IP publique du pare-feu.

Plusieurs services peuvent ainsi êtree publiés :

Objectif : Dédier une adresse IP publique à un serveur interne du réseau privé.

Il est nécessaire de disposer d'au moins deux adresses IP publiques poru le pare-feu :

• une adresse IP publique configurée sur l’interface externe du pare-feu
• une adresse IP publique supplémentaire uytilisée dans la règle de translation.

La translation statique doit être bidirectionnelle :

• le serveur local est accessible depuis internet, avec son adresse IP publique
• les connexions sortantes initiées par ce serveur vers internet doivent avoir comme source la même adresse IP publique.

Ceci nécessite deux règles de translation :

• une règle pour les connexions entrantes
• et une autre règle pour les connexions sortantes.

Exemples des règles de translation :

• Publication ARP des adresses IP publiques virtuelles

Comme les adresses IP publiques virtuelles ne sont pas configurées sur l’interface externe du pare-feu, celui-ci ne répondra pas aux requêtes ARP pour la résolution de ces adresses IP en adresse MAC du pare-feu.

Il est alors nécessaire d'activer la publication ARP des adresses IP publiques virtuelles pour le fonctionnement de la translation statique. Cela ajoute une entrée dans la table ARP du pare-feu pour faire la correspondance entre chaque adresse IP publique virtuelle et l’adresse MAC de l’interface externe.

L'assistant de création règle de NAT statique (bimap) permet de renseigner :

• l'adresse IP privée et l'adresse IP publique virtuelle du serveur interne,
• l'interface externe du pare-feu depuis laquelle le serveur sera accessible,
• le ou les ports d'écoute du serveur
• d'activer la publication ARP.

L’assistant ajoute deux règles de translation :

• une règle pour la translation des flux sortants du serveur interne vers le réseau public, * une deuxième règle pour les flux entrants** à destination de l’adresse IP publique virtuelle.

Les deux règles peuvent être ensuite modifiées par la suite indépendamment l’une de l’autre. Translation

• Mise en oeuvre de l'UTM Stormshield