Configurer NAT dynamique

NAT dynamique est utilisé lorsque l’utilisateur souhaite transférer le trafic d’un segment LAN vers Internet sur un port non approuvé. Dans ce cas, l’utilisateur doit configurer le NAT dans une direction sortante et s’assurer que les stratégies de filtre correspondantes sont définies pour permettre le retour du trafic. Par défaut, une fois le NAT dynamique configuré, le système ajoute trois stratégies de filtre.

Ces politiques :

  • autoriser toute route IPHost, toute zone, toute source et destination.

  • autoriser la correspondance établie, pour le trafic inverse des sessions initiées à partir du réseau interne.

  • déposez tout autre trafic de la zone source vers la zone de destination (spécifique à la zone).

La capture d’écran suivante affiche les options de configuration pour la configuration NAT dynamique.

image localisée

Options de configuration

  • Priorité : ordre dans lequel la stratégie sera appliquée dans toutes les stratégies définies. Les stratégies de priorité inférieure sont appliquées avant les stratégies de priorité supérieure.

  • Direction : direction à partir de l’interface virtuelle ou du point de vue du service, la traduction fonctionnera.

  • Sortant : l’adresse de destination d’un paquet sera traduite pour les paquets reçus sur le service. L’adresse source sera traduite pour les paquets transmis sur le service.

Par exemple, service LAN vers service Internet — pour les paquets sortants (LAN vers Internet), l’adresse IP source est traduite. Pour les paquets entrants ou reçus (Internet vers LAN), l’adresse IP de destination est traduite.

  • Entrant - l’adresse source d’un paquet sera traduite pour les paquets reçus sur le service. L’adresse de destination sera traduite pour les paquets transmis sur le service.

Par exemple, service Internet vers service LAN — pour les paquets reçus sur le service Internet, l’adresse IP source est traduite. Pour les paquets transmis sur le service Internet, l’adresse IP de destination est traduite.

  • Type : type de NAT dynamique à effectuer.

    • Port-Restricted- Port Restricted NAT est ce que la plupart des routeurs de Gateway de qualité grand public utilisent. Les connexions entrantes sont généralement interdites, sauf si un port est spécifiquement transféré à une adresse interne. Les connexions sortantes permettent le trafic de retour à partir de la même adresse IP distante et du même port (c’est ce que l’on appelle mappage indépendant du point de terminaison). Cette exigence limite un pare-feu NAT restreint au port à 65535 sessions simultanées, mais facilite une technologie Internet souvent utilisée appelée perforation.

    • Symétrique : le NAT symétrique est parfois appelé NAT d’entreprise car il permet un espace NAT beaucoup plus grand et améliore la sécurité en rendant les traductions moins prévisibles. Les connexions entrantes sont généralement interdites, sauf si un port est spécifiquement transféré à une adresse interne. Les connexions sortantes permettent le trafic de retour à partir de la même adresse IP et du même port distants. Les connexions à partir de la même adresse IP interne et du même port doivent être mappées sur la même adresse IP externe et le même port (c’est ce que l’on appelle mappage dépendant du point de terminaison). Ce mode empêche explicitement le poinçonnage de trous.

  • Type de service — en référence à un service SD-WAN. Pour les NAT statiques, ces éléments incluent Local (à l’appliance), Intranet et Internet.

  • Nom de service : nom de service spécifique correspondant au type de service défini ci-dessus.

  • Inside Zone : sélectionnez la zone interne pour les paquets qui nécessitent NAT.

  • Adresse IP intérieure : définissez une adresse d’hôte IP ou un sous-réseau en fonction du trafic qui nécessite NAT. Il doit s’agir d’une adresse IP qui réside dans la zone intérieure.

  • Autoriser associé — Autoriser le trafic lié au flux correspondant à la règle. Par exemple, la redirection ICMP liée au flux spécifique correspondant à la stratégie, s’il y avait un type d’erreur lié au flux.

  • Passthrough IPsec : permet au trafic IPsec de passer inchangé.

  • GRE/PPTP Passthrough : permet à GRE ou IPsec de passer inchangée.

  • Parité de port - permet la parité pour les connexions NAT.

Configurer NAT dynamique