Différences

Ci-dessous, les différences entre deux révisions de la page.

--- reseau:stormshield:fiche2 [2021/09/13 23:02] – [Mise en oeuvre de la traduction d’adresses pour l’accès à Internet (NAT/PAT)] techer.charles_educ-valadon-limoges.fr
+++ reseau:stormshield:fiche2 [2026/05/07 16:58] (Version actuelle) – techer.charles_educ-valadon-limoges.fr
@@ Ligne 43: / Ligne 43: @@
 Un message de reconnexion peut s’afficher, le cas échéant reconnectez-vous.
  * Procédez de manière identique pour les deux autres interfaces à configurer.
 ===== Route par défaut =====
 La configuration de la passerelle par défaut de votre pare-feu SNS doit pointer la passerelle du réseau NatNetwork de VirtualBox  : 192.36.253.1
   * Cliquez sur **Configuration / Réseau / Routage** onglet **Routes statiques IPv4** :
 {{ :reseau:stormshield:sns_38.png |}}
   * Cliquez sur l'icône tout à droite pour **ajouter un objet réseau**, choisissez **Machine** et renseignez les champs **Nom** (Ex : GW_NatNetwork) et **l'Adresse IPv4** de la passerelle du réseau NatNetwork  : 192.36.253.1 puis cliquez le bouton **Créer**.
 {{ :reseau:stormshield:sns_39.png |}}
 ===== Mise en oeuvre de la traduction d’adresses pour l’accès à Internet (NAT/PAT) =====
 Pour le LAB, nous considérons le réseau externe inter-entreprises comme un réseau public dans lequel aucune adresse IP privée n’est tolérée. De plus, la passerelle du réseau NatNetWork est connecté à internet via une interface autre que celles utilisées dans l’architecture du LAB.
   * Ouvrez le menu **Configuration / Politique de sécurité / Filtrage et NAT.** :
 {{ :reseau:stormshield:sns_40.png |}}
 Dans les pare-feux SNS, les règles de filtrage et de NAT (traduction d’adresses) sont regroupées sous une même politique.
@@ Ligne 68: / Ligne 76: @@
 <WRAP center round todo>
-**Étape 1 : ** Copiez la politique de filtrage/NAT **(10) Pass all** vers une autre politique vide en la renommant **AgenceX** (remplacez X par la lettre de votre entreprise).  Ensuite, **activez cette politique**.
+**Étape 1 :**
+Copiez la politique de filtrage/NAT **(10) Pass all** vers une autre politique vide en la renommant **AgenceX** (remplacez X par la lettre de votre entreprise).  Ensuite, **activez cette politique**.
 La démarche est présentée ci-après.
 </WRAP>
   * Dans la liste déroulante des politiques de sécurité, choisissez (10) Pass all. Cette politique laisse explicitement passer tous les flux.
 {{ :reseau:stormshield:sns_41.png |}}
   * Cliquez sur **Éditer** puis **copier vers** et choisir une politique vide (par exemple **Filter 05**).
 {{ :reseau:stormshield:sns_42.png |}}
   * Cliquez **Sauvegarder les modifications…**.
   * Dans la liste déroulante des politiques de sécurité, choisissez la politique **(05) Pass all**.
   * Cliquez **Éditer** puis **Renommer** et renommez-là en **AgenceX**, puis **Mettre à jour**.
   * Cliquez le bouton **Appliquer** puis **Activer la politique** **AgenceX**.
 {{ :reseau:stormshield:sns_43.png |}}
 La politique **AgenceX** est activée :
 {{ :reseau:stormshield:sns_44.png |}}
 <WRAP center round todo>
-**Étape 2** : Ajoutez une règle de NAT afin que les machines de votre réseau interne (**Network_in**) puissent accéder au réseau externe (**Firewall_Out**) sans que leur IP ne soit visible (DNAT).
+**Étape 2** : Ajoutez une règle de NAT afin que les machines de votre réseau interne (**Network_in**) puissent accéder au réseau externe (**Firewall\_Out**) sans que leur IP ne soit visible (DNAT).
 Testez l’accès au réseau externe et l’accès à Internet depuis votre poste sur le réseau interne **IN** de votre agence.
@@ Ligne 92: / Ligne 111: @@
 </WRAP>
-La règle de **NAT dynamique** est créée avec le bouton **Nouvelle règle / règle de partage d’adresse source (masquerading)** qui ajoute automatiquement la plage de ports **ephemeral_fw** au niveau du port source dans le trafic après traduction ce qui génère aléatoirement un numéro de port pour chaque nouvelle connexion et la rend moins prédictible.
+La règle de **NAT dynamique** est créée avec le bouton **Nouvelle règle / règle de partage d’adresse source (masquerading)** qui ajoute automatiquement la plage de ports **ephemeral\_fw** au niveau du port source dans le trafic après traduction ce qui génère aléatoirement un numéro de port pour chaque nouvelle connexion et la rend moins prédictible.
   * Dans votre politique **(5) AgenceX**, sélectionnez l’onglet NAT puis **Nouvelle règle / règle de partage d’adresse source (masquerading)**
 {{ :reseau:stormshield:sns_45.png |}}
-Une nouvelle règle non activée apparaît avec des valeurs par défaut any, any. Dans la section **Trafic après translation**, le port source sera traduit par un numéro de port choisi aléatoirement dans la plage **ephemeral_fw**.
+Une nouvelle règle non activée apparaît avec des valeurs par défaut any, any. Dans la section **Trafic après translation**, le port source sera traduit par un numéro de port choisi aléatoirement dans la plage **ephemeral\_fw**.
 La configuration du **Trafic original (avant translation)** permet de renseigner les valeurs des paramètres avant traduction (par défaut any, any) :
@@ Ligne 107: / Ligne 128: @@
   * Double-cliquez sur une zone vide de la règle pour ouvrir la fenêtre de configuration détaillée.
   * Cliquez l’onglet à gauche **Source Originale**.
 {{ :reseau:stormshield:sns_46.png |}}
-  * Cliquez sur **Any** et avec la flèche choisir **Network_internals** ; dans l’onglet **Configuration avancée**, laissez **Any** pour le port de destination.
+  * Double-cliquez sur **Any** et avec la flèche choisir **Network\_internals** ; dans l’onglet **Configuration avancée**, laissez **Any** pour le port de destination.
   * Cliquez l’onglet du menu de gauche **Destination Originale**.
   * Cliquez sur **Any** et avec la flèche choisir **Internet** ; laissez **Any** pour le port de destination.
 {{ :reseau:stormshield:sns_47.png |}}
@@ Ligne 118: / Ligne 142: @@
 En effet, les flux d’administration seront de fait également natés vers l’interface **OUT** qui l’interprètera comme une tentative d’intrusion et les bloquera.
 </WRAP>
 <WRAP center round info>
 Vous pouvez sécuriser davantage cette règle en choisissant l’interface de sortie.
 </WRAP>
   * Cliquez l’onglet **Configuration avancée** et sélectionnez **out** dans **Interface de sortie**.
 {{ :reseau:stormshield:sns_48.png |}}
-  * Cliquez l’onglet **Source translatée** et sélectionnez **Firewall_Out** dans **Machine source translatée**.
+  * Cliquez l’onglet **Source translatée** et sélectionnez **Firewall\_Out** dans **Machine source translatée**.
   * Dans **Port source translaté**, laisser **ephemeral_fw** et cochez **choisir aléatoirement le port source translaté**.
 {{ :reseau:stormshield:sns_49.png |}}
   * Cliquez l’onglet du menu de gauche **Protocole**, cela permet de définir le type de protocole : applicatif, IP ou Ethernet, laisser **Détection automatique du protocole (par défaut)**
 {{ :reseau:stormshield:sns_50.png |}}
   * Cliquez sur l’onglet du menu de gauche **Options** ; cela permet de tracer le trafic qui correspond à la règle de traduction dans le journal de connexions. Laissez **standard**.
 {{ :reseau:stormshield:sns_51.png |}}
 L’onglet **Options** permet également d’activer le NAT dans le tunnel IPSec (voir VPN IPSec).
   * Cliquez **OK** pour sauvegarder les modifications de la règle de NAT dynamique que vous venez de créer.
   * Dans la colonne **État**, sélectionner avec la flèche **Définir l’état on**. La règle passe à **on**.
 {{ :reseau:stormshield:sns_52.png |}}
   * Cliquez **Appliquer** puis **Oui, Activer la politique** puis confirmer.
 {{ :reseau:stormshield:sns_53.png |}}
 <WRAP center round info>
 NB : l’accès à Internet est normalement possible via la passerelle du réseau NatNetwork si la traduction PAT est configurée comme ci-dessus.