Configurer la Traduction d'Adresses Réseau (NAT) pour une Stratégie

Dans le routage NAT dynamique basé sur stratégie, le Firebox fait correspondre des adresses IP privées avec des adresses IP publiques. L'activation de la traduction d'adresses réseau dynamique s'effectue dans la configuration par défaut de chaque stratégie. L'activation de la traduction d'adresses réseau dynamique s'effectue dans la configuration par défaut de chaque stratégie.

Afin que le routage NAT dynamique basé sur stratégie fonctionne correctement, utilisez l'onglet Stratégie de la boîte de dialogue Modifier les Propriétés de la Stratégie pour vous assurer que la stratégie est configurée de sorte à n'autoriser le trafic sortant que par une seule interface de Firebox.

Les règles NAT 1 à 1 sont prioritaires sur les règles de NAT dynamique. Les traductions d'adresses réseau (NAT) dynamiques basées sur une stratégie ont priorité sur les traductions d'adresses du réseau.

Dans Fireware v12.2 et les versions ultérieures, vous pouvez spécifier l'adresse IP principale ou secondaire de l'interface de bouclage dans les paramètres NAT dynamique d'une stratégie. Vous pouvez effectuer cette opération si vous possédez un bloc d'adresses IP indépendant du fournisseur et que vous souhaitez utiliser ces adresses sans les associer à une interface externe spécifique. Vous pouvez utiliser des adresses IP indépendantes du fournisseur pour le trafic généré par la NAT et le Firebox. Le trafic généré par le Firebox est auto-généré par le Firebox lui-même.

Pour de plus amples informations concernant le trafic généré par le Firebox, consultez À propos des Stratégies relatives au Trafic Généré par le Firebox.

  1. Sélectionnez Pare-Feu > Stratégies de Pare-Feu.
    La liste des Stratégies de Pare-Feu apparaît.
  2. Sélectionnez une stratégie.
  3. Dans la liste déroulante Action, sélectionnez Modifier la Stratégie.
  4. Cliquez sur l'onglet Avancé.

Capture d'écran de la page Configuration de stratégie, onglet Avancé

  1. Cochez la case Traduction d'adresses réseau dynamique.
  2. Si vous souhaitez utiliser les règles de traduction d'adresses réseau dynamique définies pour le Firebox, sélectionnez Utiliser les paramètres réseau de traductions d'adresses réseau.
    Cela est le paramètre par défaut.
  3. Si vous souhaitez appliquer la traduction d'adresses dynamique à tout le trafic de cette stratégie, sélectionnez Tout le trafic dans cette stratégie.

Si vous sélectionnez Tout le trafic de cette stratégie, le Firebox change l'adresse IP source pour chaque paquet géré par cette stratégie en l'adresse IP principale de l'interface depuis laquelle le paquet est envoyé, ou en l'adresse IP source configurée dans les paramètres de la traduction d'adresses réseau (NAT) dynamique. Vous pouvez également définir une adresse IP source de traduction d'adresses réseau (NAT) dynamique pour le trafic géré par cette stratégie.

Pour définir l'adresse IP source dans la stratégie :

  1. Cochez la case Définir l'adresse IP source.
  2. Dans la zone de texte adjacente, entrez l'adresse IP source que le trafic géré par cette stratégie doit utiliser. Cette adresse source doit être sur le même sous-réseau que l'adresse IP principale ou secondaire de l'interface que vous avez indiquée pour le trafic sortant. Dans Fireware v12.2 et les versions ultérieures, vous pouvez spécifier une adresse source appartenant au sous-réseau de l'adresse IP principale ou secondaire de l'interface de bouclage.

Lorsque vous sélectionnez une adresse IP source, le trafic qui utilise cette stratégie indique l'adresse spécifiée provenant de votre plage d'adresses IP publiques ou externes comme étant la source. Ce système est généralement utilisé pour forcer le trafic SMTP sortant à indiquer l'adresse de l'enregistrement MX de votre domaine lorsque l'adresse IP de l'interface externe du Firebox est différente de celle de l'enregistrement MX.

Il est recommandé de ne pas utiliser l'option Définir l'adresse IP source si vous avez plusieurs interfaces externes configurées sur votre Firebox. Si vous utilisez l'option Définir l'adresse IP source dans une stratégie, n'activez pas le routage basé sur stratégie avec basculement dans les paramètres de la stratégie.

Pour plus d'informations sur les options d'attribution d'adresses IP source lors de la traduction d'adresses réseau (NAT) dynamique, consultez À propos des Adresses IP Source du NAT Dynamique.

  1. Cliquez avec le bouton droit sur une stratégie et sélectionnez Modifier la stratégie.
    La boîte de dialogue Modifier les propriétés de la stratégie s'affiche.
  2. Cliquez sur l'onglet Avancé.

Capture d'écran de la boîte de dialogue Modifier les propriétés de la stratégie, onglet Avancé

  1. Cochez la case Traduction d'adresses réseau dynamique.
  2. Si vous souhaitez utiliser les règles de traduction d'adresses réseau dynamique définies pour le Firebox, sélectionnez Utiliser les paramètres réseau de traductions d'adresses réseau.
    Cela est le paramètre par défaut.
  3. Si vous souhaitez appliquer la traduction d'adresses dynamique à tout le trafic de cette stratégie, sélectionnez Tout le trafic dans cette stratégie.

Si vous sélectionnez Tout le trafic de cette stratégie, le Firebox change l'adresse IP source pour chaque paquet géré par cette stratégie en l'adresse IP principale de l'interface depuis laquelle le paquet est envoyé, ou en l'adresse IP source configurée dans les paramètres de la traduction d'adresses réseau (NAT) dynamique. Vous pouvez également définir une adresse IP source de traduction d'adresses réseau (NAT) dynamique pour le trafic géré par cette stratégie.

Pour définir l'adresse IP source dans la stratégie :

  1. Cochez la case Définir l'adresse IP source.
  2. Dans la zone de texte adjacente, entrez l'adresse IP source que le trafic géré par cette stratégie doit utiliser. Cette adresse source doit être sur le même sous-réseau que l'adresse IP principale ou secondaire de l'interface que vous avez indiquée pour le trafic sortant. Dans Fireware v12.2 et les versions ultérieures, vous pouvez spécifier une adresse source appartenant au sous-réseau de l'adresse IP principale ou secondaire de l'interface de bouclage.

Lorsque vous sélectionnez une adresse IP source, le trafic qui utilise cette stratégie indique l'adresse spécifiée provenant de votre plage d'adresses IP publiques ou externes comme étant la source. Ce système est généralement utilisé pour forcer le trafic SMTP sortant à indiquer l'adresse de l'enregistrement MX de votre domaine lorsque l'adresse IP de l'interface externe du Firebox est différente de celle de l'enregistrement MX.

Il est recommandé de ne pas utiliser l'option Définir l'adresse IP source si vous avez plusieurs interfaces externes configurées sur votre Firebox. Si vous utilisez l'option Définir l'adresse IP source dans une stratégie, n'activez pas le routage basé sur stratégie avec basculement dans les paramètres de la stratégie.

Pour plus d'informations sur les options d'attribution d'adresses IP source lors de la traduction d'adresses réseau (NAT) dynamique, consultez À propos des Adresses IP Source du NAT Dynamique.

Désactiver la traduction d'adresses (NAT) dynamique basée sur stratégie

L'activation de la traduction d'adresses réseau dynamique s'effectue dans la configuration par défaut de chaque stratégie.

  1. Sélectionnez Pare-Feu > Stratégies de Pare-Feu.
    La liste des Stratégies de Pare-Feu apparaît.
  2. Sélectionnez une stratégie.
    La page Stratégies s'affiche.
  3. Dans la liste déroulante Action, sélectionnez Modifier la Stratégie.
  4. Cliquez sur l'onglet Avancé.
  5. Pour désactiver la traduction d'adresses réseau pour le trafic contrôlé par cette stratégie, décochez la case Traduction d'adresses réseau (NAT) dynamique.
  1. Cliquez avec le bouton droit sur une stratégie et sélectionnez Modifier la stratégie.
    La boîte de dialogue Modifier les propriétés de la stratégie s'affiche.
  2. Cliquez sur l'onglet Avancé.
  3. Pour désactiver la règle NAT pour le trafic contrôlé par cette stratégie, désélectionnez la case à cocher Traduction d'adresses réseau dynamique.

Voir Également

À propos de la Traduction d'Adresses Réseau (NAT) Dynamique