Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
reseau:stormshield:fiche4 [2021/09/19 22:41] techer.charles_educ-valadon-limoges.fr |
reseau:stormshield:fiche4 [2021/10/18 15:49] (Version actuelle) techer.charles_educ-valadon-limoges.fr [Mise en oeuvre de la redirection de ports] |
||
---|---|---|---|
Ligne 5: | Ligne 5: | ||
Vous allez maintenant configurer des règles de NAT et des règles de redirections de ports afin de rendre accessible vos services hébergés par le serveur Debian de la DMZ. | Vous allez maintenant configurer des règles de NAT et des règles de redirections de ports afin de rendre accessible vos services hébergés par le serveur Debian de la DMZ. | ||
+ | |||
+ | ===== Mise en oeuvre de la NAT statique ===== | ||
Vous disposez de 2 adresses IP publiques **192.36.253.x2** et **192.36.253.x3** réservées respectivement à vos serveurs FTP et MAIL (au besoin ajoutez ces 2 objets créés cf Partie 3). | Vous disposez de 2 adresses IP publiques **192.36.253.x2** et **192.36.253.x3** réservées respectivement à vos serveurs FTP et MAIL (au besoin ajoutez ces 2 objets créés cf Partie 3). | ||
Ligne 24: | Ligne 26: | ||
* Choisissez **out** dans **Uniquement sur l’interface** et laissez **Any** dans **Uniquement pour les ports** et cochez **Publication ARP** | * Choisissez **out** dans **Uniquement sur l’interface** et laissez **Any** dans **Uniquement pour les ports** et cochez **Publication ARP** | ||
* et cliquez **Terminer**. | * et cliquez **Terminer**. | ||
+ | |||
+ | L’assistant **ajoute deux règles NATs** : | ||
+ | * La première règle pour la translation du **flux sortant** du serveur interne vers le **réseau public** | ||
+ | * et la **deuxième** pour le **flux entrant** à destination de l’adresse **IP publique virtuelle**. | ||
+ | Les deux règles peuvent être modifiées par la suite indépendamment l’une de l’autre. | ||
+ | {{ : | ||
+ | |||
+ | * Procédez de manière identique pour le serveur mail : objet **srv_mail_priv** et objet **srv_mail_pub** | ||
+ | {{ : | ||
+ | |||
+ | <WRAP center round todo> | ||
+ | **Étape 2 :** Testez l’application de la première règle de NAT, en envoyant un ping vers la passerelle par défaut. | ||
+ | </ | ||
+ | |||
+ | * Envoyez un ping vers la passerelle par défaut de **l' | ||
+ | * Ouvrez **Configuration / Politique de sécurité / Filtrage et NAT** onglet **NAT** sur le firewall de votre agence (AgenceX). Dans la liste des règles la barre devient **verte** quand les règles **s’appliquent** et une info-bulle indique le nombre de fois où la règle a été appliquée : | ||
+ | {{ : | ||
+ | Dans le bandeau d’affichage des règles, dépliez le menu (3 traits horizontaux) et cliquez sur **Réinitialiser les | ||
+ | statistiques des règles** pour remettre les compteurs à zéro. | ||
+ | {{ : | ||
+ | |||
+ | ===== Mise en oeuvre de la redirection de ports ===== | ||
+ | |||
+ | <WRAP center round todo> | ||
+ | **Étape 3 :** Vous allez ajouter une **règle de NAT** afin que votre serveur **WEB** (objet srv_web_pub, | ||
+ | </ | ||
+ | * Dans votre politique **AgenceX**, | ||
+ | * Source originale = **Internet**, | ||
+ | * Interface d’entrée = **out**, | ||
+ | * Destination originale = **Firewall_Out**, | ||
+ | * Port dest= **http**, | ||
+ | * Source translatée = **Any**, | ||
+ | * Destination translatée = **srv_web_priv**, | ||
+ | * Port destination translaté = **http**. | ||
+ | |||
+ | {{ : | ||
+ | ===== Traçage des règles de NAT ===== | ||
+ | |||
+ | <WRAP center round todo> | ||
+ | **Étape 4 :** Vous allez activez le **traçage des règles de NAT** pour les **flux entrants**, ceci permet d’avoir les informations visibles dans les **Journaux d’audit (logs)**. | ||
+ | </ | ||
+ | |||
+ | * Double-cliquez une règle (par ex la règle n°3), et choisissez l’onglet **Options**, | ||
+ | * **Répétez** l’opération pour les autres règles **entrantes**. | ||
+ | {{ : | ||
+ | Vous pouvez tester l’accès à l’ensemble de vos ressources et vérifiez le traçage des règles demandées (flux entrants) dans les logs du firewall. Vous pouvez par exemple tenter d’accéder via des ping d’une machine debian à l’autre. | ||
+ | |||
+ | * Cliquez l’onglet **Monitoring** puis **LOGS - Journaux d’audit / Vues / Trafic réseau** : vous devriez voir apparaître les ping vers la passerelle du Siège effectués précédemment. | ||
+ | {{ : | ||
+ | |||
+ | ===== Export des règles de NAT ===== | ||
+ | |||
+ | <WRAP center round todo> | ||
+ | **Étape 5 :** Vous allez effectuer une sauvegarde des règles de NAT et de filtrage dans un fichier CSV. | ||
+ | </ | ||
+ | * Ouvrez le menu **Configuration / Politique de sécurité / Filtrage** et **NAT**. | ||
+ | {{ : | ||
+ | * Cliquez **Exporter** puis **Télécharger** puis **OK**. | ||
+ | Le fichier CSV téléchargé est de la forme VMSNSxxxxxxxx_policy5_local_filter_nat_rules_2020-09-08_1731 | ||
+ | |||
===== Retour Accueil Stormshield ===== | ===== Retour Accueil Stormshield ===== | ||
* [[: | * [[: |