Exemple 1-to-1 NAT
Lorsque vous activez une règle 1-to-1 NAT, le Firebox modifie et achemine tous les paquets entrants et sortants envoyés à partir d'une plage d'adresses vers une autre plage d'adresses.
Pensez à une situation dans laquelle vous avez un groupe de serveurs internes avec des adresses IP privées ; chacune doit indiquer une adresse IP publique différente vers l'extérieur. Vous pouvez utiliser une règle 1-to-1 NAT pour faire correspondre des adresses IP publiques aux serveurs internes et vous n'avez pas besoin de changer les adresses IP de vos serveurs internes. Pour comprendre comment configurer une règle 1-to-1 NAT, prenez cet exemple :
Une entreprise possède un groupe de trois serveurs comportant des adresses privées situés derrière une interface facultative de leur Firebox. Les adresses des serveurs sont les suivantes :
10.0.2.11
10.0.2.12
10.0.2.13
L'administrateur sélectionne trois adresses IP publiques de la même adresse réseau que l'interface externe du Firebox et crée des enregistrements DNS pour la résolution des adresses des serveurs. Ces adresses sont les suivantes :
203.0.113.11
203.0.113.12
203.0.113.13
L'administrateur configure une règle 1-to-1 NAT pour les serveurs. La règle 1-to-1 NAT génère une relation statique, bidirectionnelle entre les paires d'adresses IP correspondantes. La relation a l'aspect suivant :
10.0.2.11 <--> 203.0.113.11
10.0.2.12 <--> 203.0.113.12
10.0.2.13 <--> 203.0.113.13
Sitôt la règle 1-to-1 NAT appliquée, le Firebox crée le routage bidirectionnel et la relation NAT entre le pool d'adresses IP privées et le pool d'adresses publiques.
Dans le mappage 1-to-1 NAT de cet exemple :
- Le Type de Mappage est Plage IP
- L'Interface est Externe
- La Base NAT définit les premières adresses IP externes de la plage, 203.0.113.11
- La Base Réelle définit les premières adresses IP internes de la plage, 10.0.2.11
- Le Nombre d'hôtes soumis à la règle NAT définit la taille du pool d'adresses, 3
Dans Policy Manager, la configuration 1-to-1 NAT de cet exemple a l'aspect suivant :
Après avoir configuré le mappage NAT, assurez-vous d'avoir des stratégies autorisant le trafic entrant vers les adresses IP réelles des serveurs.
Pour consulter toutes les étapes nécessaires pour définir une règle 1-to-1 NAT et voir un exemple de stratégie, consultez Configurer 1-to-1 NAT pour le Pare-feu.