Configurer 1-to-1 NAT pour le Pare-feu

Vous pouvez configurer le 1-to-1 NAT pour n'importe quelle interface. Pour une interface externe, la Base Réelle renvoie aux adresses IP (privées) réelles des hôtes de votre réseau et la Base NAT renvoie aux adresses IP publiques que vous voulez associer aux adresses privées. Vous pouvez configurer un mappage 1-to-1 NAT pour une adresse IP unique, une plage d'adresses IP ou tout un sous-réseau.

Ajouter le Mappage 1-to-1 NAT

  1. Sélectionnez Réseau > NAT.
    La page Paramètres NAT apparaît.

Capture d'écran de la page de paramètres NAT

  1. Dans la section 1-to-1 NAT, cliquez sur Ajouter.
    La page de configuration 1-to-1 NAT s'affiche.

Capture d'écran de la page Configuration 1-to-1 NAT

  1. Dans la liste déroulante Type de mappage, sélectionnez IP unique (pour mapper un hôte), Plage IP (pour mapper une plage d'hôtes) ou Sous-réseau IP (pour mapper un sous-réseau).

Si vous sélectionnez Plage IP, ne spécifiez pas un sous-réseau ou une plage incluant plus de 254 adresses IP. Si vous souhaitez appliquer la règle 1-to-1 NAT à plus de 254 adresses IP, il vous faudra créer plusieurs règles.

  1. Configurez l'Interface, la base NAT et les paramètres de Base Réelle.

Pour plus d'informations, consultez la section Définir une règle 1-to-1 NAT.

  1. Cliquez sur Enregistrer.
  2. Ajoutez les adresses IP NAT aux stratégies adéquates.
    • Pour une stratégie qui gère les connexions sortantes, ajoutez les adresses IP de Base Réelles à la section De de la configuration de la stratégie.
    • Pour une stratégie qui gère les connexions entrantes, ajoutez les adresses IP de Base NAT ou les adresses IP de Base Réelle à la section À de la configuration de la stratégie.

Dans Fireware v12.4 et les versions ultérieures, vous pouvez modifier un mappage NAT 1-to-1 via Fireware Web UI. Pour modifier un mappage 1-to-1, sélectionnez le mappage et cliquez sur Modifier.

  1. Sélectionnez Réseau > NAT.
    La boîte de dialogue Configuration de NAT apparaît.
  2. Cliquez sur l'onglet 1-to-1 NAT.

Capture d'écran de

  1. Cliquez sur Ajouter.
    La boîte de dialogue Ajouter mappage 1-to-1 NAT apparaît.

Capture d'écran de la boîte de dialogue Ajouter mappage 1-to-1 NAT

  1. Dans la liste déroulante Type de mappage, sélectionnez IP unique (pour mapper un hôte), Plage IP (pour mapper une plage d'hôtes) ou Sous-réseau IP (pour mapper un sous-réseau).

Si vous sélectionnez Plage IP, ne spécifiez pas un sous-réseau ou une plage incluant plus de 254 adresses IP. Si vous souhaitez appliquer la règle 1-to-1 NAT à plus de 254 adresses IP, il vous faudra créer plusieurs règles.

  1. Dans la section Configuration, configurez les paramètres Interface, Base NAT et Base Réelle.

Pour plus d'informations, consultez la section Définir une règle 1-to-1 NAT.

  1. Cliquez sur OK.
  2. Ajoutez les adresses IP NAT aux stratégies adéquates.
    • Pour une stratégie qui gère les connexions sortantes, ajoutez les adresses IP de Base Réelles à la section De de la configuration de la stratégie.
    • Pour une stratégie qui gère les connexions entrantes, ajoutez les adresses IP de Base NAT ou les adresses IP de Base Réelle à la section À de la configuration de la stratégie.

Pour modifier un mappage 1-to-1, sélectionnez le mappage et cliquez sur Modifier.

Modifier une Stratégie pour utiliser NAT

L'exemple dans À propos de 1-to-1 NAT décrit comment une NAT 1-to-1 peut fournir un accès à un serveur de messagerie. Pour terminer cette configuration, vous devez modifier les paramètres de stratégie SMTP entrant pour autoriser les connexions depuis le réseau externe vers la plage d'adresses IP 203.0.113.11. Vous devez également changer les paramètres de la stratégie SMTP sortant.

  1. Sélectionnez Pare-Feu > Stratégies de Pare-Feu.
  2. Ajoutez une nouvelle stratégie SMTP entrant, ou modifiez une stratégie SMTP entrant.
  3. Dans la stratégie SMTP, à côté de la liste De, cliquez sur Ajouter.
    La boîte de dialogue Ajouter un membre s'affiche.
  4. Sélectionnez l'alias Tout-Externe et cliquez sur OK.

Capture d'écran de la page Ajouter un Membre

  1. À côté de la liste À, cliquez sur Ajouter.
    La boîte de dialogue Ajouter un membre s'affiche.
  2. Sélectionnez IPv4 Hôte dans la liste déroulante et saisissez 203.0.113.11 qui est l'adresse IP de la base NAT dans notre exemple.
    Vous pouvez aussi spécifier l'adresse IP de base Réelle, qui est 10.0.1.11 dans notre exemple, au lieu de l'adresse IP de la base NAT.

Capture d'écran de la page de membre de stratégie SMTP

  1. Cliquez sur OK.
    La page stratégie SMTP s'affiche.

Capture d'écran de la stratégie SMTP entrant

  1. Pour modifier ou créer une stratégie SMTP sortant, répétez les Étapes 1 à 7, mais spécifiez différentes valeurs pour les zones de texte De et À :
    • De — 10.0.1.11
    • À — Tout-Externe

Capture d'écran de la stratégie SMTP sortant

  1. Ajoutez une nouvelle stratégie SMTP entrant, ou modifiez une stratégie SMTP entrant.
  2. À côté de la liste De , cliquez sur Ajouter.
  3. Sélectionnez l'alias Tout-Externe et cliquez sur OK.

Capture d'écran de la page Ajouter un Membre

  1. À côté de la liste À, cliquez sur Ajouter.
  2. Cliquez sur Ajouter autre.
    La boîte de dialogue Ajouter un membre s'affiche.
  3. Sélectionnez IPv4 Hôte dans la liste déroulante.
  4. Dans la zone de texte Valeur, saisissez 203.0.113.11, qui est l'adresse IP de la base NAT dans notre exemple.
    Vous pouvez aussi spécifier l'adresse IP de base Réelle, qui est 10.0.1.11 dans notre exemple, au lieu de l'adresse IP de la base NAT.

Capture d'écran de la page Ajouter un Membre

  1. Cliquez sur OK à deux reprises.

Capture d'écran de la stratégie SMTP entrant

  1. Pour modifier ou créer une stratégie SMTP sortante, répétez les Étapes 1 à 8 en spécifiant d'autres valeurs pour les zones de texte De et À :
    • De — 10.0.1.11
    • À — Tout-Externe

Définir une règle 1-to-1 NAT

Dans chaque règle 1-to-1 NAT, vous pouvez configurer un hôte, une plage d'hôtes ou un sous-réseau. Vous devez également configurer :

Interface

Nom de l'interface Ethernet sur laquelle la règle 1-to-1 NAT est appliquée. Votre Firebox appliquera la règle 1-to-1 NAT aux paquets envoyés depuis et vers l'interface. Dans notre exemple ci-dessus, la règle est appliquée à l'interface externe.

Base NAT

Lorsque vous configurez une règle 1-to-1 NAT, vous utilisez une plage d'adresses IP De et À. La base NAT est la première adresse IP disponible de la À. L'adresse IP de base NAT est l'adresse qui devient une adresse IP de base réelle soumise à la règle 1-to-1 NAT. Vous ne pouvez pas utiliser l'adresse IP d'une interface Ethernet existante en tant que base NAT. Pour une NAT via une interface externe, la base NAT est l'adresse IP publique.

Base réelle

Lorsque vous configurez une règle 1-to-1 NAT, vous utilisez une plage d'adresses IP De et À. La base réelle est la première adresse IP disponible de la plage d'adresses De. Il s'agit de l'adresse IP attribuée à l'interface Ethernet physique de l'ordinateur auquel vous appliquez la stratégie 1-to-1 NAT. Lorsque les paquets provenant d'un ordinateur associé à une adresse de base réelle transitent par l'interface spécifiée, l'action 1-to-1 NAT s'applique. Pour une NAT via une interface externe, la base réelle est l'adresse IP privée.

Nombre d'hôtes soumis à la règle NAT (pour plages IP uniquement)

Nombre d'adresses IP d'une plage auquel s'applique la règle 1-to-1 NAT. La première adresse IP de base réelle est traduite en première adresse IP de base NAT lors de l'application de la règle 1-to-1 NAT. La deuxième adresse IP de base réelle de la plage est traduite en deuxième adresse IP de base NAT lors de l'application de la règle 1-to-1 NAT. Cette opération se répète jusqu'à ce que le nombre d'hôtes soumis à la règle NAT soit atteint. Dans l'exemple ci-dessus, le nombre d'hôtes à soumettre à la règle NAT est 5.

Pour un exemple d'utilisation de la règle 1-to-1 NAT, consultez Exemple 1-to-1 NAT.

Pour voir comment configurer une règle 1-to-1 NAT, regardez le Tutoriel Vidéo Introduction à la NAT.

1-to-1 NAT via un tunnel Branch Office VPN

Vous pouvez utiliser la règle 1-to-1 NAT lors de la création d'un tunnel VPN entre deux réseaux qui utilisent une même adresse réseau privée. Vous pouvez également utiliser 1-to-1 NAT dans une configuration VPN lorsque vous souhaitez masquer votre schéma d'adresses internes depuis le réseau à distance.

En effet, lorsque vous créez un tunnel VPN, les réseaux à chaque extrémité du tunnel doivent avoir différentes plages d'adresses réseau. Si la plage d'adresses réseau sur le réseau distant est la même que sur le réseau local, vous devez utiliser la règle 1-to-1 NAT. Pour une interface virtuelle BOVPN, vous pouvez sélectionner le nom de cette interface dans la configuration 1-to-1 NAT et ajouter une règle 1-to-1 NAT comme décrit dans la section précédente.

Pour un Branch Office VPN qui n'est pas une interface virtuelle BOVPN, vous pouvez configurer la règle 1-to-1 NAT dans les paramètres de tunnel et de passerelle Branch Office VPN. Configurez les deux passerelles pour qu'elles utilisent la règle 1-to-1 NAT et créez le tunnel VPN sans modifier les adresses IP aux extrémités du tunnel. Vous configurez une règle 1-to-1 NAT pour un tunnel VPN lorsque vous configurez le tunnel VPN et pas dans la boîte de dialogue Réseau > NAT.

Pour un exemple de ce type de configuration, consultez Configurer 1-to-1 NAT via un Tunnel Branch Office VPN.

Voir Également

À propos de 1-to-1 NAT

Configurer 1-to-1 NAT pour une Stratégie