Traduction d'adresse réseau ¶
La traduction d'adresses réseau (NAT) est un moyen de séparer les réseaux externes et internes (WAN et LAN) et de partager une adresse IP externe entre les clients sur le réseau intermédiaire. NAT peut être utilisé dans IPv4 et IPv6. Pour IPv6, la traduction de préfixe réseau est également disponible.
La plupart des options suivantes utilisent trois adresses différentes: source, destination et redirection. Ces adresses sont utilisées pour les opérations suivantes:
|
Source |
D'où vient le trafic? Cela peut souvent être laissé à «n'importe qui». |
|
Destination |
Où le trafic est dirigé. Pour le trafic entrant de l'extérieur, il s'agit généralement de votre adresse IP externe. |
|
Redirection |
Où rediriger le trafic. |
Quelques termes expliqués ¶
BINAT : NAT fonctionne généralement dans un sens. Cependant, si vous avez des réseaux de taille égale, vous pouvez également utiliser BINAT, qui est bidirectionnel. Cela peut simplifier la configuration. Si vous ne disposez pas de réseaux de taille égale, vous ne pouvez utiliser que le NAT normal.
Réflexion NAT : Lorsqu'un client réseau interne tente d'accéder à un autre client, mais en utilisant l' externe adresse IP au lieu de l'adresse interne (ce qui aurait plus de sens), NAT Reflection peut réécrire cette demande pour utiliser l'adresse IP interne, afin d'éviter de contourner et appliquer des règles destinées au trafic externe réel.
Options de fusion : Lorsqu'il y a plusieurs adresses IP parmi lesquelles choisir, cette option vous permettra de configurer l'utilisation de l'adresse IP. La valeur par défaut, Round Robin, distribuera simplement les paquets à un serveur après l'autre. Si vous n'avez qu'une seule adresse IP externe, cette option ne fonctionnera pas.
Redirection de port Promotion du ¶
Lorsque de nombreux clients partagent une adresse IP externe, toute connexion non démarrée par l'un des clients échouera car le pare-feu ne saura pas où envoyer le trafic. Cela peut être résolu en créant des règles de transfert de port. Par exemple, pour qu'un serveur Web derrière le pare-feu soit accessible, les ports 80 et 443 doivent y être redirigés.
La redirection de port est également appelée "NAT de destination" ou "DNAT".
Dans DMS-SDWAN, la redirection de port peut être configurée en accédant à . Ici, vous trouverez un aperçu des règles de promotion des ports. De nouvelles règles peuvent être ajoutées en cliquant sur Ajouter dans le coin supérieur droit.
Lors de l'ajout d'une règle, les champs suivants sont disponibles:
|
Désactivée |
Désactivez cette règle sans la supprimer. |
|
Pas de RDR (NON) |
Ne créez pas de règle de redirection. Laissez ceci à moins que vous ne sachiez ce que vous faites. |
|
Interface |
Dans quelle interface cette règle doit-elle s'appliquer? La plupart du temps, ce sera un WAN. |
|
Version TCP / IP |
IPv4, IPv6 ou les deux. |
|
Protocole |
Dans les scénarios typiques, ce serait TCP. |
|
Source |
D'où vient le trafic? Cliquez sur "Avancé" pour voir les autres paramètres de la source. |
|
Source / Inversion |
Inverser le mappage vers le champ "Source". |
|
Plage de ports source |
Le cas échéant, le port d'origine auquel nous devons nous assigner. Ceci est généralement aléatoire et presque jamais égal à la largeur du port de destination (et devrait généralement être "any"). |
|
Destination / inversion |
Inverser l'affectation dans le champ "Destination". |
|
Destination |
Où le trafic est dirigé. |
|
Largeur du port de destination |
Ports de service utilisés par le trafic |
|
Redirection IP de destination |
Où rediriger le trafic. |
|
Redirection du port de destination |
Quel port utiliser (lors de l'utilisation de tcp et / ou udp) |
|
Options de piscine |
Voir "Quelques termes expliqués". La valeur par défaut est d'utiliser le round robin. |
|
Description |
Une description pour retrouver facilement la règle dans l'aperçu. |
|
Définir une balise locale |
Définissez une balise que d'autres règles et filtres NAT peuvent vérifier. |
|
Correspondre à l'étiquette locale |
Recherchez une balise définie par une autre règle. |
|
Sans synchronisation XMLRPC |
Empêchez cette règle d'être synchronisée avec un serveur de sauvegarde. (Vérifier cela sur le serveur de sauvegarde n'a aucun effet.) |
|
Redirection NAT |
Voir "Quelques termes expliqués". Laissez ce paramètre par défaut, sauf si vous avez une bonne raison de ne pas le faire. |
|
Filtre de corrélation de règles |
Associez-le à une règle de pare-feu classique. |
Un à un ¶
Un à un NAT, comme son nom l'indique, traduira deux adresses IP une par une, au lieu d'une à plusieurs, comme cela est plus courant. À cet égard, il est similaire à ce que fait NPT pour IPv6.
Dans DMS-SDWAN, one-to-one NAT peut être configuré en naviguant sur . Ici, vous verrez un aperçu des règles individuelles. De nouvelles règles peuvent être ajoutées en cliquant sur Ajouter dans le coin supérieur droit.
Lors de l'ajout d'une règle, les champs suivants sont disponibles:
|
Désactivée |
Désactivez cette règle sans la supprimer. |
|
Interface |
Dans quelle interface cette règle doit-elle s'appliquer? La plupart du temps, ce sera un WAN. |
|
Type |
BINAT (par défaut) ou NAT. Voir "Quelques termes expliqués". |
|
Réseau externe |
Adresse réseau externe initiale à utiliser pour la traduction d'adresses de / vers. |
|
Source / inversion |
Inverser le mappage vers le champ "Source". |
|
Source |
Le réseau interne pour ce mappage, généralement un RFC 1918 spectre |
|
Destination / inversion |
Inverser l'affectation dans le champ "Destination". |
|
Destination |
Les paquets réseau de destination doivent correspondre lorsqu'ils sont utilisés pour
mapper des réseaux externes, c'est généralement le cas |
|
Description |
Une description pour retrouver facilement la règle dans l'aperçu. |
|
Redirection NAT |
Voir "Quelques termes expliqués". Laissez ce paramètre par défaut, sauf si vous avez une bonne raison de ne pas le faire. |
Sortant ¶
Lorsqu'un client sur un réseau interne soumet une demande sortante, la passerelle devra changer l'adresse IP source en IP externe de la passerelle, car le serveur externe ne pourra pas envoyer de réponse dans le cas contraire.
Le NAT sortant est également appelé «NAT source» ou «SNAT».
Si vous n'avez qu'une seule adresse IP externe, vous laissez automatiquement les options NAT sortantes. Cependant, si vous avez plusieurs adresses IP, vous souhaiterez peut-être modifier les paramètres et ajouter des règles personnalisées.
Les principaux paramètres pour le sortant sont:
|
Sortie automatique des règles NAT sortantes |
Le défaut. Il suit le comportement décrit ci-dessus et convient à la plupart des scénarios. |
|
Sortie manuelle d'une règle NAT de sortie |
Aucune règle automatique n'est créée. Ils peuvent être ajoutés manuellement. |
|
Sortie hybride des règles de sortie NAT |
Règles automatiques sont ajoutées, mais des règles manuelles supplémentaires peuvent être ajoutées. |
|
Désactiver la génération de règle NAT sortante |
Désactive le NAT sortant. Ceci est utilisé pour les ponts transparents , par exemple. |
De nouvelles règles peuvent être ajoutées en cliquant sur Ajouter dans le coin supérieur droit.
Lors de l'ajout d'une règle, les champs suivants sont disponibles:
|
Désactivée |
Désactivez cette règle sans la supprimer. |
|
Not NAT |
Désactivez le NAT pour tout le trafic conforme à cette règle. Laissez ceci à moins que vous ne sachiez ce que vous faites. |
|
Interface |
Dans quelle interface cette règle doit-elle s'appliquer? La plupart du temps, ce sera un WAN. |
|
Version TCP / IP |
IPv4 ou IPv6 |
|
Protocole |
Dans les scénarios typiques, ce serait TCP. |
|
Source inverse |
Inverser le mappage vers le champ "Source". |
|
source |
Le réseau source pour la cartographie |
|
Port source |
Le cas échéant, le port d'origine auquel nous devons nous assigner. Ceci est généralement aléatoire et presque jamais égal à la largeur du port de destination (et devrait généralement être "any"). |
|
Destination inverse |
Inverser l'affectation dans le champ "Destination". |
|
Destination |
Réseau de destination pour la cartographie |
|
Le port de destination |
Port de service utilisé par le trafic |
|
Traduction / objectif |
Que traduire les packages correspondants. |
|
Enregistrer |
Placez les packages qui correspondent à cette règle dans les journaux. Utilisez-le avec parcimonie pour éviter le débordement des journaux. |
|
Traduction / port |
Quel port sera utilisé sur la cible |
|
Port statique |
Empêche pf (4) de modifier le port source dans les paquets TCP et UDP. |
|
Options de piscine |
Voir "Quelques termes expliqués". La valeur par défaut est d'utiliser le round robin. |
|
Définir une balise locale |
Définissez une balise que d'autres règles et filtres NAT peuvent vérifier. |
|
Correspondre à l'étiquette locale |
Recherchez une balise définie par une autre règle. |
|
Sans synchronisation XMLRPC |
Empêchez cette règle d'être synchronisée avec un serveur de sauvegarde. (Vérifier cela sur le serveur de sauvegarde n'a aucun effet.) |
|
Description |
Une description pour retrouver facilement la règle dans l'aperçu. |