S'applique à : Fireboxes Gérés sur le Cloud
Par défaut, un Firebox géré sur le cloud remplace l'adresse IP source du trafic sortant par l'adresse IP principale du réseau externe que le trafic quitte. Vous pouvez éventuellement configurer une règle NAT dynamique ou une stratégie de pare-feu de manière à définir une adresse IP source différente pour le trafic qu'elle transmet via un réseau spécifique. Lorsque vous sélectionnez une adresse IP source, la traduction d'adresses réseau dynamique utilise l'adresse IP source spécifiée pour tout trafic qui correspond à la règle ou stratégie de traduction d'adresses réseau dynamique.
Que vous spécifiez l'adresse IP source dans une règle NAT dynamique ou dans une stratégie de pare-feu, il est important que l'adresse IP source appartienne au même sous-réseau que l'adresse IP principale ou secondaire du réseau à partir duquel le trafic est transmis. Il est également important de s'assurer que le trafic auquel la règle s'applique ne sorte que d'un seul réseau.
Si l'adresse IP source de la NAT dynamique n'est pas sur le même sous-réseau que l'adresse IP principale ou secondaire du réseau de sortie pour ce trafic, le Firebox ne change pas l'adresse IP source pour chaque paquet pour l'adresse IP source spécifiée dans la règle de NAT dynamique. Il change plutôt l'adresse IP source pour l'adresse IP principale du réseau duquel le paquet est envoyé.
Définir l'Adresse IP Source dans une Règle de NAT Dynamique
Si vous voulez définir l'adresse IP source pour le trafic qui corresponde à une règle de NAT dynamique, indépendamment de toute stratégie qui s'applique au trafic, ajoutez une règle de NAT dynamique qui spécifie l'adresse IP source. L'adresse IP source que vous spécifiez doit être sur le même sous-réseau que l'adresse IP principale ou secondaire du réseau pour le trafic sortant.
Si l'emplacement À dans la règle de NAT dynamique du réseau spécifie un alias, tel que Tout-Externe, qui comprend plus d'une interface, l'adresse IP source est uniquement utilisée pour le trafic qui quitte une interface dont l'adresse IP est située sur le même sous-réseau que l'adresse IP source.
Par exemple, si :
- Votre Firebox possède deux réseaux externes :
- Ext1, adresse IP 203.0.113.2
- Ext2, adresse IP 192.0.2.2
- Vous créez une règle de NAT dynamique de tout le trafic vers Tout-Externe.
- Dans la règle de NAT dynamique, vous définissez une adresse IP source de 203.0.113.80.
Le résultat est :
- Pour le trafic quittant EXT1, l'adresse IP source est l'adresse IP dans la règle de NAT dynamique, 203.0.113.8.
- Pour le trafic quittant EXT1, l'adresse IP source est l'adresse IP de l'interface Eth1, 192.0.2.2.
Pour plus d'informations, consultez Configurer le NAT Dynamique.
Définir l'Adresse IP Source dans une Stratégie de Pare-feu
Si vous voulez définir l'adresse IP source pour le trafic géré par une stratégie de pare-feu spécifique, configurez l'adresse IP source dans les paramètres réseau de la stratégie. L'adresse IP source que vous spécifiez doit être sur le même sous-réseau que l'adresse IP principale ou secondaire de l'interface que vous avez indiquée pour le trafic sortant dans la stratégie.
Nous vous recommandons de ne pas utiliser l'option Définir l'IP Source dans les paramètres NAT d'une stratégie de pare-feu si vous possédez plusieurs réseaux externes configuré sur votre Firebox. Si vous utilisez l'option Définir l'IP source dans une stratégie, n'activez pas SD-WAN avec basculement dans les paramètres de la stratégie.
Pour plus d'informations, consultez Configurer le NAT Dynamique dans une Stratégie de Pare-feu.