Le Reverse NAT (ou autrement dit Translation statique) est une règle qui consiste à faire l'opération inverse : autoriser l'accès depuis un réseau externe à une machine située dans le réseau local. Le principe de ce mécanisme est de permettre d'associer en effet une adresse IP publique par l'adresse IP privée d'un serveur local.

Il s'agit d'une méthode essentielle afin de rendre accessible un serveur Web situé dans le réseau local depuis l'extérieur (sur Internet par exemple).

Précédemment, nous avons vu comment créer une règle de NAT sur les pares-feux Stormshield. Nous allons donc voir maintenant la création d'une nouvelle règle de Reverse NAT.

Accéder à l'interface sur le firewall

Pour cela, accéder à l'interface Web du SNS, puis rendez-vous dans la section CONFIGURATION > POLITIQUE DE SÉCURITÉ > Filtrage et NAT, puis le second onglet "NAT" :

Organiser les règles NAT

Afin de mieux organiser les règles, nous allons créer un séparateur afin de différencier chaque type de règle de NAT :

L'ordre des règles n'est pas important puisqu'il va s'agir de deux types de règles différentes.

Modifier le port d'écoute de l'interface d'administration

Si jamais vous souhaitez rendre accessible un serveur WEB sur le port 443, il est très important de modifier le port de connexion de l'interface d'administration du pare-feu SNS.

Étant donné que los du cas d'une règle de Reverse NAT, notre trafic depuis Internet passe entre deux sur notre pare-feu, puis la ressource interne toujours sur le même port !

Impossible d'écouter deux services sur un même port ! Cela présente un conflit :

Autoriser la connexion sur le nouveau port

Nous devons avant tout créer une règle de filtrage permettant d'autoriser la connexion à l'interface d'administration (exemple : TCP:8443) :

Ici, nous avons autorisé tout le monde à accéder à notre interface du SNS, sur le port TCP 8443.

Modifier le port d'administration

Afin d'y remédier, nous allons modifier ce port de connexion à l'interface d'administration du pare-feu, CONFIGURATION > SYSTÈME > CONFIGURATION > Administration du Firewall.

Dans la partie "Accès à l'interface d'administration du Firewall", choisissiez un port d'écoute différent (exemple : TCP:8443) :

Connectez-vous sur la nouvelle adresse : https://<IP>:8443/admin :

Ainsi, nous n'aurons plus de conflit : chaque service écoute sur un port différent

Plus d'informations : https://www.vemotech.fr/tutorials/configuration-systeme-du-pare-feu-034305#administration-du-firewall

Création de la règle

Cliquer dans la partie "+ Nouvelle règle", puis Règle simple afin de créer une nouvelle règle NAT vide.

Afin de poser les choses, ce que nous souhaitons est de réaliser la partie inverse d'une règle NAT classique. Nous souhaitons que depuis Internet, nous ayons accès à notre machine locale.

Si nous reprenons la partie théorique, nous souhaitons modifier le champ source de notre paquet TCP/IP : l'adresse source initiale sera privée, puis modifier par l'adresse IP de la passerelle locale du routeur.

Nous allons ici décomposer la création de cette règle :

• Trafic avant translation.
• Trafic après translation.

Trafic avant translation

Au niveau de l'édition, soit vous glissez-déposez chaque objet à son emplacement, ou bien vous double-cliquez sur la règle afin d'ouvrir l'assistant de création.

• La partie "Source" sera l'extérieur donc l'objet "Internet" qui aura accès.
• La "Destination" sera l'adresse IP de l'interface sortante du pare-feu (autrement dit l'interface qui fournis l'accès à Internet au pare-feu) : soit l'adresse IP publique du modem ou l'adresse IP du réseau de l'interface connecté à la box FAI. L'interface par défaut est Firewall_out.
• Les ports de destination seront les ports qui seront ouverts sur Internet, généralement ceux du service du serveur local. Si vous avez une box, mettez celle-ci en mode "Bridge", sinon le "mode DMZ" nécessitera l'ouverture de ports sur la box également.

Attention à ne pas mettre "Any", sinon vous risqueriez de perdre l'accès au SNS !

Trafic après translation

Après translation, nous devons modifier l'adresse source d'Internet par l'adresse de notre passerelle de notre réseau local. Cette partie sera donc le côté interne.

Exemple : réseau local 1.2.3.0/24 => GW (passwerelle) : 1.2.3.254/24

Spécifiez ensuite le serveur, la ressource interne à rendre accessible. Notez que la source doit être la gateway de la machine local !

En fin de compte, voici la règle de Reverse NAT au complet :

On choisi comme source Internet vers notre interface publique de notre pare-feu, sur les ports http et https. Le NAT modifie l'adresse source issu d'internet et on redirige le trafic sur l'adresse IP l'interface de la passerelle d'accès de notre serveur WEB, ressource interne sur le même port que celui du port de destination du trafic original avant la translation.

De ce fait, en tentant de se rendre sur l'adresse IP du pare-feu natté sur le port 443, nous avons notre site Web qui est affiché ! Ici l'accès se fait par une règle "Pass all", qui laisse tout passer. Cependant, il sera nécessaire de créer une règle de filtrage afin d'autoriser ce flux.

Même si notre serveur WEB est accessible, il s'agit ici d'une méthode qui fonctionne mais n'est pas fiable. En effet, nous avons vu le reverse NAT afin de mieux comprendre le principe. Nous verrons par la suite la disponibilité de plusieurs ressources sur plusieurs ports à travers une fonction méconnue qui est le PAT (Port Address Translation).

Dans la formation, nous allons voir qu'il est possible de créer des règles de Reverse NAT et PAT, mais cette fois-ci par une règle de filtrage, du reverse NAT par politique qui renforcera la sécurité avec l'IPS du SNS.