Différences

Ci-dessous, les différences entre deux révisions de la page.

--- reseau:stormshield:fiche2 [2021/09/13 22:48] – [Mise en oeuvre de la traduction d’adresses pour l’accès à Internet (NAT/PAT)] techer.charles_educ-valadon-limoges.fr
+++ reseau:stormshield:fiche2 [2021/09/16 09:09] (Version actuelle) – techer.charles_educ-valadon-limoges.fr
@@ Ligne 108: / Ligne 108: @@
   * Cliquez l’onglet à gauche **Source Originale**.
 {{ :reseau:stormshield:sns_46.png |}}
-  * Cliquez sur **Any** et avec la flèche choisir **Network_internals** ; dans l’onglet **Configuration avancée**, laissez **Any** pour le port de destination.
+  * Double-cliquez sur **Any** et avec la flèche choisir **Network_internals** ; dans l’onglet **Configuration avancée**, laissez **Any** pour le port de destination.
   * Cliquez l’onglet du menu de gauche **Destination Originale**.
   * Cliquez sur **Any** et avec la flèche choisir **Internet** ; laissez **Any** pour le port de destination.
 {{ :reseau:stormshield:sns_47.png |}}
+<WRAP center round important>
+**Attention** : si vous laissez **Any**, plutôt qu’**Internet** qui désigne tous les réseaux sauf ceux internes au pare-feu SNS, le pare-feu SNS bloquera les flux d’administration (en ssh et en https).
+En effet, les flux d’administration seront de fait également natés vers l’interface **OUT** qui l’interprètera comme une tentative d’intrusion et les bloquera.
+</WRAP>
+<WRAP center round info>
+Vous pouvez sécuriser davantage cette règle en choisissant l’interface de sortie.
+</WRAP>
+  * Cliquez l’onglet **Configuration avancée** et sélectionnez **out** dans **Interface de sortie**.
+{{ :reseau:stormshield:sns_48.png |}}
+  * Cliquez l’onglet **Source translatée** et sélectionnez **Firewall_Out** dans **Machine source translatée**.
+  * Dans **Port source translaté**, laisser **ephemeral_fw** et cochez **choisir aléatoirement le port source translaté**.
+{{ :reseau:stormshield:sns_49.png |}}
+  * Cliquez l’onglet du menu de gauche **Protocole**, cela permet de définir le type de protocole : applicatif, IP ou Ethernet, laisser **Détection automatique du protocole (par défaut)**
+{{ :reseau:stormshield:sns_50.png |}}
+  * Cliquez sur l’onglet du menu de gauche **Options** ; cela permet de tracer le trafic qui correspond à la règle de traduction dans le journal de connexions. Laissez **standard**.
+{{ :reseau:stormshield:sns_51.png |}}
+L’onglet **Options** permet également d’activer le NAT dans le tunnel IPSec (voir VPN IPSec).
+  * Cliquez **OK** pour sauvegarder les modifications de la règle de NAT dynamique que vous venez de créer.
+  * Dans la colonne **État**, sélectionner avec la flèche **Définir l’état on**. La règle passe à **on**.
+{{ :reseau:stormshield:sns_52.png |}}
+  * Cliquez **Appliquer** puis **Oui, Activer la politique** puis confirmer.
+{{ :reseau:stormshield:sns_53.png |}}
+<WRAP center round info>
+NB : l’accès à Internet est normalement possible via la passerelle du réseau NatNetwork si la traduction PAT est configurée comme ci-dessus.
+</WRAP>
+Pour tester, utilisez le client linux graphique qui est dans le réseau interne de votre agence côté interface **IN** comme suit :
+  * Adresse IP : 192.168.x.100/24
+  * Passerelle par défaut : 192.168.x.254
+  * Serveurs DNS : 172.16.x.10 et en second le serveur DNS 8.8.8.8
+Effectuez des tests de connectivité vers un serveur extérieur à votre plateforme, par exemple le serveur DNS 8.8.8.8.
+<WRAP center round info>
+NB : le serveur DNS fourni n’effectue la résolution DNS que pour vos adresses locales, elle n’est pas mise en place pour la résolution vers Internet, si vous souhaitez la mettre en place il faut configurer le **DNS forwarding**.
+</WRAP>
 ===== Retour Accueil Stormshield =====
   * [[:reseau:stormshield:accueil|Stormshield]]