alut,
 
Nous avons actuellement un pare feu zyxel, et j’essaie de configurer son remplaçant, un stormshield sn710.
 
Je me perds un peu dans la configuration des régles NAT.
 
Sur mon zyxel, j'indiquais l'interface d'entrée, ip source (ip publique sur laquelle la requête arrivait) la machine de destination, et le protocole source et destination.
 
Sur le stormshield
 
dans source originale j'indique internet et mon interface d'entrée ?
 
dans destination originale : l'ip publique et le port ?
 
dans source translatée :  je comprend pas ?
 
dans destination translatée : ma machine cible et le protocole ?
 
merci de votre aide
 
 

En cherchant sur internet, je lis que tout ce passe lors de la création de la regle de filtrage. pas besoin d'aller dans l'onglet nat.
 
Est ce correct ? a quoi sert l'onglet nat alors ?
 
merci

Bonjour,
 
Tu auras besoin des deux. La règle de filtrage pour autoriser les flux et la règle de NAT pour rediriger.

 
Oui c’est bien ce que je pensais comme sur mon zyxel  
 
Du coup quelqu’un pour me renseigner sur le parametrage de la règle ?
 
   

Essaye déjà avec une règle de NAT simple :
 
(src) Network_in (dest) internet (dest port) any | (src) Firewall_out (src port) ephemeral_fw (dest) any
 
Au niveau de "original traffic" / destination, tu auras p-e aussi l'interface out qui va se rajouter.
 
Ça suppose que tu as le port 1 pour OUT et le 2 pour IN.

quand je lis cette page :
https://documentation.stormshield.e [...] T-rule.htm
 
Ils ne parlent à aucun moment de l'onglet NAT. Et l'exemple est bien la publication d'un serveur web.

En effet, nous avons un stormshield ici. Aucunement besoin d'aller dans l'onglet NAT pour créer une règle. Suffit juste de créer une règle classique avec source, internet et l'interface WAN, destination tu mets ton l'adresse WAN de ton stormshield et dans l'onglet "propriété avancé", tu mets dans la partie NAT ton serveur de destination.

ça me rassure vraiment ce que tu me dis.  
 

Tu peux également faire ton NAT dans le filtrage.
C'est au choix.
 
Par contre j'ai lu très vite, je pensais que tu demandais pour le NAT du réseau local vers internet. Pas pour accéder à un serveur interne depuis l’extérieur.

pour les sorti internet, je trouve plus simple de les creer dans la parti NAT
Apres pour faire de la redicrection d'internet vers un serveur spécifique, tu peux effectivement le faire dans filtrage.
MP pour des exemples

merci à tous. je pense que je devrais m'en sortir.

Salut,  
 
Tout fonctionne bien  
 
J'ai un problème qui persiste, seulement pour une partie de mon réseau :  
 
- Mon switch l3 à une interface vlan 192.168.230.1 pour le vlan 750. J'ai relié mon stormshield à l'interface 3, avec l'ip 192.168.230.2  
 
Les postes sur ce vlan n'ont pas accès à internet, le dhcp leur distribuent la passerelle 192.168.230.1. Cela fonctionnait comme ca avec l'ancien firewall zyxel.  
 
Par contre si je leur mets 192.168.230.2 en passerelle, tout est ok.  
 
J'ai loupé quelque chose ?  
 
 

Demande à ton L3 de router à ton Stormshield et t'auras Internet sur ton vlan (routage asymétrique).
 
Mais bon ça fait peur ton truc.
 
C'est tombé en marche.
 
Si tu déclares en dur la .2 sur les postes, ils ont Internet mais plus accès au reste du réseau (sauf si route sur le Stormshield). Mais comment ça fonctionne pour les autres VLANs ?
 
Puis qd on connait les Stormshield et l'ASQ, j'imagine déjà les problèmes que tu vas avoir ou bien tout est en pass all ou sans l'IPS.
 
J'espère me tromper.

 Pour mon autre vlan le switch, le vlan 100 a une interface vlan en .254 et une route par défaut vers .253  
 
Ça fonctionne bien pour ce vlan.  
 
Mais je ne peu pas indiquer une route par défaut pour chaque vlan.
 
Effectivement Je ne souhaite pas indiqué la .2 en passerelle par défaut sur les postes  
 
Je ne comprends pas pourquoi la même configuration fonctionné bien avant  
 
De quels problèmes parles tu ?
 
Merci

Je lis très vite, p-e que j'ai loupé un truc mais sinon :
 
Crée un vlan pour ton stormshield.
Laisse ton L3 router entre tes VLAN.
Les interfaces L3 de ton switch sont les passerelles de tes postes (pour chaque vlan).
Rajoute une route par défaut sur ton L3 vers le Stormshield.
Déclare les routes vers les Vlan sur ton Stormshield.

D’accord je comprends  
 
Ça peut être bien. C’est la solution qui se fait habituellement ?