Les cours du BTS SIO

Outils pour utilisateurs

Outils du site

Piste : fiche5
reseau:stormshield:fiche2

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
reseau:stormshield:fiche2 [2021/09/13 22:39] – [Mise en oeuvre de la traduction d’adresses pour l’accès à Internet (NAT/PAT)] techer.charles_educ-valadon-limoges.frreseau:stormshield:fiche2 [2021/09/16 09:09] (Version actuelle) techer.charles_educ-valadon-limoges.fr
Ligne 91: Ligne 91:
 La démarche est présentée ci-après. La démarche est présentée ci-après.
 </WRAP> </WRAP>
 +
 +La règle de **NAT dynamique** est créée avec le bouton **Nouvelle règle / règle de partage d’adresse source (masquerading)** qui ajoute automatiquement la plage de ports **ephemeral_fw** au niveau du port source dans le trafic après traduction ce qui génère aléatoirement un numéro de port pour chaque nouvelle connexion et la rend moins prédictible.
 +  * Dans votre politique **(5) AgenceX**, sélectionnez l’onglet NAT puis **Nouvelle règle / règle de partage d’adresse source (masquerading)**
 +{{ :reseau:stormshield:sns_45.png |}}
 +Une nouvelle règle non activée apparaît avec des valeurs par défaut any, any. Dans la section **Trafic après translation**, le port source sera traduit par un numéro de port choisi aléatoirement dans la plage **ephemeral_fw**.
 +
 +La configuration du **Trafic original (avant translation)** permet de renseigner les valeurs des paramètres avant traduction (par défaut any, any) : 
 +  * **Source Originale** permet de définir l’adresse IP d’un hôte ou du réseau source.
 +  * **Destination Originale** permet de définir l’adresse IP d’un hôte ou du réseau destination.
 +La configuration du **Trafic après translation** permet de renseigner les nouvelles valeurs des paramètres après traduction (par défaut any, any) :
 +  * **Source translatée** définit l’adresse IP ou le réseau source et le port source vus de l’extérieur.
 +  * **Destination translatée** définit l’adresse IP ou le réseau destination et Port destination translatée le port de destination.
 +
 +Voici le détail de chaque élément de la configuration de la règle.
 +  * Double-cliquez sur une zone vide de la règle pour ouvrir la fenêtre de configuration détaillée.
 +  * Cliquez l’onglet à gauche **Source Originale**.
 +{{ :reseau:stormshield:sns_46.png |}}
 +  * Double-cliquez sur **Any** et avec la flèche choisir **Network_internals** ; dans l’onglet **Configuration avancée**, laissez **Any** pour le port de destination.
 +  * Cliquez l’onglet du menu de gauche **Destination Originale**.
 +  * Cliquez sur **Any** et avec la flèche choisir **Internet** ; laissez **Any** pour le port de destination.
 +{{ :reseau:stormshield:sns_47.png |}}
 +
 +<WRAP center round important>
 +**Attention** : si vous laissez **Any**, plutôt qu’**Internet** qui désigne tous les réseaux sauf ceux internes au pare-feu SNS, le pare-feu SNS bloquera les flux d’administration (en ssh et en https). 
 +
 +En effet, les flux d’administration seront de fait également natés vers l’interface **OUT** qui l’interprètera comme une tentative d’intrusion et les bloquera.
 +</WRAP>
 +<WRAP center round info>
 +Vous pouvez sécuriser davantage cette règle en choisissant l’interface de sortie.
 +</WRAP>
 +  * Cliquez l’onglet **Configuration avancée** et sélectionnez **out** dans **Interface de sortie**.
 +{{ :reseau:stormshield:sns_48.png |}}
 +  * Cliquez l’onglet **Source translatée** et sélectionnez **Firewall_Out** dans **Machine source translatée**.
 +  * Dans **Port source translaté**, laisser **ephemeral_fw** et cochez **choisir aléatoirement le port source translaté**.
 +{{ :reseau:stormshield:sns_49.png |}}
 +  * Cliquez l’onglet du menu de gauche **Protocole**, cela permet de définir le type de protocole : applicatif, IP ou Ethernet, laisser **Détection automatique du protocole (par défaut)**
 +{{ :reseau:stormshield:sns_50.png |}}
 +  * Cliquez sur l’onglet du menu de gauche **Options** ; cela permet de tracer le trafic qui correspond à la règle de traduction dans le journal de connexions. Laissez **standard**.
 +{{ :reseau:stormshield:sns_51.png |}}
 +L’onglet **Options** permet également d’activer le NAT dans le tunnel IPSec (voir VPN IPSec).
 +  * Cliquez **OK** pour sauvegarder les modifications de la règle de NAT dynamique que vous venez de créer.
 +  * Dans la colonne **État**, sélectionner avec la flèche **Définir l’état on**. La règle passe à **on**.
 +{{ :reseau:stormshield:sns_52.png |}}
 +  * Cliquez **Appliquer** puis **Oui, Activer la politique** puis confirmer.
 +{{ :reseau:stormshield:sns_53.png |}}
 +<WRAP center round info>
 +NB : l’accès à Internet est normalement possible via la passerelle du réseau NatNetwork si la traduction PAT est configurée comme ci-dessus.
 +
 +</WRAP>
 +Pour tester, utilisez le client linux graphique qui est dans le réseau interne de votre agence côté interface **IN** comme suit :
 +  * Adresse IP : 192.168.x.100/24
 +  * Passerelle par défaut : 192.168.x.254
 +  * Serveurs DNS : 172.16.x.10 et en second le serveur DNS 8.8.8.8
 +Effectuez des tests de connectivité vers un serveur extérieur à votre plateforme, par exemple le serveur DNS 8.8.8.8.
 +<WRAP center round info>
 +NB : le serveur DNS fourni n’effectue la résolution DNS que pour vos adresses locales, elle n’est pas mise en place pour la résolution vers Internet, si vous souhaitez la mettre en place il faut configurer le **DNS forwarding**.
 +</WRAP>
 +
  
 ===== Retour Accueil Stormshield ===== ===== Retour Accueil Stormshield =====
  
   * [[:reseau:stormshield:accueil|Stormshield]]   * [[:reseau:stormshield:accueil|Stormshield]]
reseau/stormshield/fiche2.1631565563.txt.gz · Dernière modification : 2021/09/13 22:39 de techer.charles_educ-valadon-limoges.fr