Sécurisation du réseau dans Oracle® Solaris 11.2

Quitter la vue de l'impression

Mis à jour : Septembre 2014
 
 

Utilisation de la fonctionnalité NAT d'IP Filter

NAT configure des règles de mappage qui réalisent la translation des adresses IP source et de destination vers d'autres adresses Internet ou intranet. Ces règles modifient les adresses source et de destination des paquets IP entrants et sortants et envoient les paquets. Vous pouvez également utiliser NAT pour rediriger le trafic d'un port à un autre. NAT assure l'intégrité du paquet en cas de modification ou de redirection de celui-ci.

Vous pouvez créer des règles NAT à la ligne de commande, à l'aide de la commande ipnat ou dans un fichier de configuration NAT. Vous devez créer le fichier de configuration NAT et définir son chemin d'accès comme valeur de la propriété config/ipnat_config_file du service. La valeur par défaut est /etc/ipf/ipnat.conf. Pour plus d'informations, reportez-vous à la commande ipnat(1M).

Les règles NAT peuvent s'appliquer à la fois aux adresses IPv4 et IPv6. Au contraire, vous devez définir des règles distinctes pour chaque type d'adresse. Dans une règle NAT qui inclut les adresses IPv6, vous ne pouvez pas utiliser les commandes NAT mapproxy et rdrproxy simultanément.

Configuration des règles NAT

Appliquez la syntaxe ci-dessous pour créer des règles NAT :

command interface-name parameters
  1. Toute règle commence par l'une des commandes ci-dessous :

    map

    Mappe une adresse IP ou un réseau IP vers une autre adresse IP ou un autre réseau IP selon un processus circulaire non contrôlé.

    rdr

    Redirige les paquets d'un couple port-adresse IP vers un autre couple port-adresse IP.

    bimap

    Etablit une translation d'adresse réseau bidirectionnelle entre une adresse IP externe et une adresse IP interne.

    map-block

    Etablit la translation basée sur les adresses IP statiques. Cette commande se base sur un algorithme qui force la translation des adresses vers une plage de destination.

  2. Le mot suivant correspond au nom de l'interface, par exemple bge0.

  3. Ensuite, vous avez le choix entre divers paramètres, afin de définir la configuration NAT. Les paramètres suivants sont disponibles :

    ipmask

    Désigne le masque réseau.

    dstipmask

    Désigne l'adresse cible de la translation de ipmask.

    mapport

    Désigne les protocoles tcp, udp ou tcp/udp, ainsi qu'une plage de numéros de port.

L'exemple ci-dessous indique comment construire une règle NAT. Pour réécrire un paquet sortant sur le périphérique net2 avec l'adresse source 192.168.1.0/24 et pour afficher son adresse source comme étant 10.1.0.0/16, ajoutez la règle ci-dessous à l'ensemble de règles NAT :

map net2 192.168.1.0/24 -> 10.1.0.0/16

Les règles suivantes s'appliquent aux adresses IPv6 :

map net3 fec0:1::/64 -> 2000:1:2::/72 portmap tcp/udp 1025:65000
map-block net3 fe80:0:0:209::/64 -> 209:1:2::/72 ports auto
rdr net0 209::ffff:fe13:e43e port 80 -> fec0:1::e,fec0:1::f port 80 tcp round-robin

Pour obtenir la syntaxe et la grammaire complètes, reportez-vous à la page de manuel ipnat(4).