Configurer la Traduction d'Adresses Réseau Statique (SNAT)

Le principe de NAT statique (SNAT), appelé également transfert de port, est une traduction d'adresses réseau port à hôte. Avec la NAT statique, lorsqu'un hôte envoie un paquet depuis un réseau vers un port d'une interface facultative ou externe, la NAT statique change l'adresse IP de destination en une adresse IP et port se trouvant derrière le pare-feu. Si une application logicielle utilise plusieurs ports et que ces ports sont sélectionnés de façon dynamique, utilisez une règle 1-to-1 NAT ou vérifiez si un proxy sur votre Firebox peut gérer ce type de trafic. La NAT statique fonctionne également sur les connexions provenant des réseaux que votre Firebox protège.

Nous vous recommandons de configurer la NAT Statique plutôt que 1-to-1 NAT, en particulier si vous avez un petit nombre d'adresses IP publiques.

Vous pouvez configurer la NAT statique pour les connexions à une interface facultative ou externe du Firebox. Vous ne pouvez pas configurer de NAT statique pour les connexions à une interface approuvée ou personnalisée. Vous ne pouvez pas configurer de NAT statique pour les BOVPN ou les connexion mobile VPN.

Vous ne pouvez pas configurer une traduction d'adresses réseau statique pour une interface facultative dans un Modèle de Configuration de Périphérique. Pour obtenir davantage d'informations sur la configuration d'une action SNAT dans un Modèle de Configuration de Périphérique, consultez Configurer une Action SNAT.

Lorsque vous utilisez une NAT statique, les connexions vers un serveur interne peuvent être adressées à une adresse IP d'interface du Firebox au lieu de l'adresse IP actuelle du serveur. Par exemple, vous pouvez placer votre serveur de messagerie SMTP derrière votre Firebox avec une adresse IP privée et configurer la traduction d'adresses réseau statique dans votre stratégie SMTP. Votre Firebox reçoit les connexions sur le port 25 et envoie les connexions SMTP vers l'adresse réelle du serveur SMTP situé derrière le Firebox.

  • Dans Fireware v12.2 et les versions ultérieures, vous pouvez spécifier un FQDN en plus d'une adresse IP.
  • Dans Fireware v12.2.1 et les versions ultérieures, vous pouvez spécifier l'adresse IP principale ou secondaire de l'interface de bouclage dans une action NAT statique. Il convient d'effectuer cette opération si vous disposez d'adresses IP publiques indépendantes du fournisseur ou d'adresses IP internes non associées à une interface spécifique afin de toujours pouvoir utiliser ces adresses IP pour la NAT.

Par défaut, une règle NAT statique ne modifie pas l'adresse IP source du trafic entrant. Lorsque vous ajoutez une action NAT statique, vous pouvez indiquer une adresse IP source dans l'action. Ensuite, lorsqu'une connexion correspondant aux paramètres de votre action NAT statique est reçue par votre Firebox, il modifie l'adresse IP source par l'adresse IP que vous avez spécifiée. Vous pouvez spécifier une adresse IP source différente pour chaque membre SNAT.

Vous pouvez également activer la traduction d'adresses de port (PAT, Port Adress Translation) dans une action NAT statique. Lorsque vous activez le routage PAT, vous pouvez modifier la destination du paquet afin de d'indiquer un hôte interne différent et un port différent.

Pour voir comment configurer une règle de NAT statique, regardez le Tutoriel Vidéo Introduction à la NAT.

Ajouter une action NAT statique

Dans Fireware Web UI, vous devez définir une action de traduction d'adresses réseau statique avant de pouvoir l'utiliser dans une ou plusieurs stratégies.

  1. Sélectionnez Pare-feu > SNAT.
    La page SNAT s'affiche.
  2. Cliquez sur Ajouter.
    La page Ajouter SNAT s'affiche.

Capture d'écran de la page Ajouter une traduction d'adresses réseau statique

  1. Dans la zone de texte Nom, entrez un nom pour cette action SNAT.
  2. (Facultatif) Dans la zone de texte Description, saisissez une description pour cette action SNAT.
  3. Sélectionnez NAT statique.
    Il s'agit de la sélection par défaut.
  4. Cliquez sur Ajouter.
    La boîte de dialogue Ajouter un Membre s'affiche.

Capture d'écran de la boîte de dialogue Ajouter un Membre NAT Statique

  1. (Fireware v12.2.1 et versions ultérieures) Dans la liste déroulante Adresse IP ou Interface, sélectionnez l'adresse IP ou l'alias de l'interface externe, facultative ou de bouclage à utiliser dans cette action. Vous pouvez également sélectionner une adresse IP qui appartient à un réseau secondaire assigné à une interface externe, facultative ou de bouclage.

Par exemple, pour utiliser la NAT statique pour les paquets adressés à une seule adresse IP externe, sélectionnez cette adresse IP externe ou son alias. Pour utiliser la NAT statique pour les paquets adressés à n'importe quelle interface IP facultative, sélectionnez l'alias Tout-Facultatif.

Dans Fireware v12.2 et les versions antérieures, cette liste déroulante se nomme Adresse IP Externe/Facultative. Vous pouvez sélectionner l'adresse IP ou l'alias d'une interface externe ou facultative, mais il est impossible de sélectionner l'adresse IP d'une interface de bouclage.

  1. (Fireware v12.2 et versions ultérieures) Dans la liste déroulante Choisir le Type, sélectionnez Adresse IP Interne ou FQDN.
    1. Si vous avez sélectionné Adresse IP Interne, saisissez une adresse IP dans la zone de texte Hôte.
    2. Si vous avez sélectionné FQDN, saisissez un nom de domaine entièrement qualifié dans la zone de texte Hôte.
  2. Pour spécifier l'adresse IP source pour cette action de traduction d'adresses réseau statique, cochez la case Définir l'IP source. Saisissez l'adresse IP source à utiliser dans la zone de texte adjacente.
  3. Pour activer la traduction d'adresses de port (PAT), cochez la case Définir un autre port interne. Dans la zone de texte adjacente, tapez ou sélectionnez le numéro de port.

Si vous utilisez une action SNAT dans une stratégie qui autorise un type de connexion autre que TCP ou UDP, la configuration du port interne n'est pas utilisée pour cette connexion.

  1. Cliquez sur OK.
    La route de la traduction d'adresses réseau statique s'affiche dans la liste Membres SNAT.
  2. Pour ajouter un autre membre à cette action, cliquez sur Ajouter et répétez les étapes 7 à 12.
  3. Cliquez sur Enregistrer.
    La nouvelle action SNAT apparaît dans la page SNAT.

Dans Policy Manager, vous pouvez créer une action NAT statique et l'ajouter à une stratégie, ou vous pouvez créer l'action NAT statique depuis la configuration d'une stratégie.

  1. Sélectionnez Configuration > Actions > SNAT.
    La boîte de dialogue SNAT apparaît.
  2. Cliquez sur Ajouter.
    La boîte de dialogue Ajouter SNAT apparaît.

Capture d'écran de la boîte de dialogue Ajouter une SNAT

  1. Dans la zone de texte Nom SNAT, saisissez un nom pour cette action SNAT.
  2. (Facultatif) Dans la zone de texte Description, saisissez une description pour cette action SNAT.
  3. Sélectionnez NAT statique.
    Il s'agit de la sélection par défaut.
  4. Cliquez sur Ajouter.
    La boîte de dialogue Ajouter la traduction d'adresses réseau statique s'affiche.

Capture d'écran de la boîte de dialogue Ajouter une NAT statique

  1. (Fireware v12.2.1 et versions ultérieures) Dans la liste déroulante Adresse IP ou Interface, sélectionnez l'adresse IP ou l'alias de l'interface externe, facultative ou de bouclage à utiliser dans cette action. Vous pouvez également sélectionner une adresse IP qui appartient à un réseau secondaire assigné à une interface externe, facultative ou de bouclage.

    2. Par exemple, pour utiliser la NAT statique pour les paquets adressés à une seule adresse IP externe, sélectionnez cette adresse IP externe ou son alias. Pour utiliser la NAT statique pour les paquets adressés à n'importe quelle interface IP facultative, sélectionnez l'alias Tout-Facultatif.

    Dans Fireware v12.2 et les versions antérieures, cette liste déroulante se nomme Adresse IP Externe/Facultative. Vous pouvez sélectionner l'adresse IP ou l'alias d'une interface externe ou facultative, mais il est impossible de sélectionner l'adresse IP d'une interface de bouclage.

  2. Pour spécifier l'adresse IP source pour cette action de traduction d'adresses réseau statique, cochez la case Définir l'IP source. Saisissez l'adresse IP source à utiliser dans la zone de texte adjacente.
  3. (Fireware v12.2 et versions ultérieures) Dans la liste déroulante Choisir le Type, sélectionnez Adresse IP Interne ou FQDN.
    1. Si vous avez sélectionné Adresse IP Interne, saisissez une adresse IP dans la zone de texte Hôte.
    2. Si vous avez sélectionné FQDN, saisissez un nom de domaine entièrement qualifié dans la zone de texte Hôte.
  4. Pour activer la traduction d'adresses de port (PAT), cochez la case Définir un autre port interne. Dans la zone de texte adjacente, tapez ou sélectionnez le numéro de port.

Si vous utilisez une action SNAT dans une stratégie qui autorise les connexions autres que TCP ou UDP, la configuration du port interne n'est pas utilisée pour cette connexion.

  1. Cliquez sur OK.
    La route de la traduction d'adresses réseau statique s'affiche dans la liste Membres SNAT.
  2. Pour ajouter un autre membre à cette action, cliquez sur Ajouter et répétez les étapes 7 à 12.
  3. Cliquez sur OK.
    La nouvelle action SNAT apparaît dans la boîte de dialogue SNAT.

Ajouter une action de traduction d'adresses réseau statique à une stratégie

Après avoir ajouté une action SNAT, vous pouvez l'utiliser dans une ou plusieurs stratégies.

  1. Sélectionnez Pare-Feu > Stratégies de Pare-Feu.
  2. Cliquez sur le nom d'une stratégie pour la modifier.
  3. Dans la liste déroulante Les connexions sont, sélectionnez Autorisées.
    Pour utiliser la NAT statique, la stratégie doit autoriser les connexions entrantes.
  4. Dans la section À, cliquez sur Ajouter.
    La boîte de dialogue Ajouter un Membre s'affiche.

Capture d'écran de la boîte de dialogue Ajouter un membre, avec un membre NAT statique sélectionné

  1. Dans la liste déroulante Type de membre, sélectionnez NAT statique.
    Une liste des actions de traduction d'adresses réseau statique configurées apparaît.
  2. Sélectionnez l'action NAT statique à ajouter à cette stratégie. Cliquez sur OK.
    La route de la traduction d'adresses réseau statique apparaît dans la section À de la configuration de la stratégie.
  3. Cliquez sur Enregistrer.
  1. Double-cliquez sur une stratégie pour la modifier.
  2. Dans la liste déroulante Les connexions sont, sélectionnez Autorisées.
    Pour utiliser la NAT statique, la stratégie doit autoriser les connexions entrantes.
  3. Dans la section À, cliquez sur Ajouter.
    La boîte de dialogue Ajouter une adresse s'affiche.
  4. Cliquez sur Ajouter SNAT.
    La boîte de dialogue SNAT apparaît, affichant une liste des actions d'équilibrage de charge côté serveur et des actions NAT statiques configurées.

Capture d'écran de la boîte de dialogue SNAT avec une action SNAT sélectionnée

  1. Sélectionnez l'action SNAT configurée à ajouter. Cliquez sur OK.
    Vous pouvez aussi cliquer sur Ajouter pour définir une nouvelle action NAT statique. Suivez les étapes de la section Ajouter une action NAT statique pour configurer l'action NAT statique.
  2. Cliquez sur OK pour fermer la boîte de dialogue SNAT.
    La route de l'action NAT statique s'affiche dans la liste Membres et adresses sélectionnés.

Capture d'écran de la boîte de dialogue Ajouter une adresse, avec une action NAT statique ajoutée

  1. Cliquez sur OK pour fermer la boîte de dialogue Ajouter une adresse.
  2. Cliquez sur OK pour fermer la boîte de dialogue Propriétés de la stratégie.

Modifier ou Supprimer une Action NAT Statique

Vous pouvez modifier une action SNAT de la liste des actions SNAT.

  1. Sélectionnez Pare-feu > SNAT.
    La page SNAT s'affiche.
  2. Sélectionnez une action SNAT.
  3. Cliquez sur Modifier.
    La page Modifier une action SNAT s'affiche.
  4. Modifiez l'action SNAT.
    Quand vous modifiez une action SNAT, tous les changements s'appliquent à l'ensemble des stratégies qui utilisent ladite action SNAT.
  5. Cliquez sur Enregistrer.
  1. Sélectionnez Configuration > Actions > SNAT.
    La boîte de dialogue SNAT apparaît.
  2. Sélectionnez une action SNAT.
  3. Cliquez sur Modifier.
    La page Modifier une action SNAT s'affiche.
  4. Modifiez l'action SNAT.
    Quand vous modifiez une action SNAT, tous les changements s'appliquent à l'ensemble des stratégies qui utilisent ladite action SNAT.
  5. Cliquez sur OK.

Dans Policy Manager, vous pouvez aussi modifier une action SNAT lorsque vous modifiez une stratégie.

  1. Double-cliquez sur une stratégie pour la modifier.
    La boîte de dialogue Modifier les propriétés de la stratégie apparaît avec l'onglet Stratégie sélectionné.
  2. Dans la section À, sélectionnez l'action SNAT que vous voulez modifier.
  3. Cliquez sur Modifier.
    La boîte de dialogue Modifier une action SNAT apparaît.
  4. Modifiez l'action SNAT.
    Quand vous modifiez une action SNAT dans une stratégie, les changements que vous apportez s'appliquent à l'ensemble des stratégies qui utilisent cette action SNAT.
  5. Cliquez sur OK.

Vous pouvez supprimer une action SNAT qui n'est pas utilisée par une stratégie.

  1. Sélectionnez Pare-feu > SNAT.
    La page SNAT s'affiche
  2. Sélectionnez une action SNAT.
  3. Cliquez sur Supprimer.
    Une boîte de dialogue de confirmation apparaît.
  4. Cliquez sur OK pour confirmer que vous voulez supprimer l'action SNAT.
  1. Sélectionnez Configuration > Actions > SNAT.
    La boîte de dialogue SNAT apparaît.
  2. Sélectionnez une action SNAT.
  3. Cliquez sur Supprimer.
    Une boîte de dialogue de confirmation apparaît.
  4. Cliquez sur Oui pour confirmer que vous voulez supprimer l'action SNAT.
  5. Cliquez sur OK.

Modifier les Paramètres Globaux d'une Traduction d'Adresses Réseau Statique

Par défaut, le Firebox ne supprime pas les connexions actives lorsque vous modifiez une action NAT statique. Vous pouvez changer les paramètres SNAT globaux pour que le Firebox supprime les connexions actives qui utilisent l'action SNAT que vous modifiez.

Pour modifier les paramètres SNAT globaux dans Fireware Web UI ou Policy Manager :

  1. Sélectionnez Installation > Paramètres Globaux.
  2. Sélectionnez Système > Paramètres Globaux.
  3. Sélectionnez l'onglet Networking (Gestion de réseau).
  4. Dans la section Flux du trafic, cochez la case Lorsqu'une action SNAT est modifiée, supprimer les connexions actives qui utilisent cette action SNAT.

Voir Également

Configurer la Traduction d'Adresses Réseau (NAT) pour une Stratégie

Exemple de Configuration — Installer un Serveur Web Public Derrière un Firebox

Exemples de Fichiers de Configuration — Installer un Serveur Web Public Derrière un Firebox