Help

Définir une règle complexe de pare-feu

Vous êtes sur le point de définir une nouvelle règle pour gérer une connexion spécifique entre deux zones différentes. Si la requête rejoint les critères définis sur cette page, l'action « Résultat » sera entreprise.

Voici une description des différents champs disponibles pour ce formulaire. Remplissez-les selon les critères correspondants pour que cette règle soit activée. Quelques options sont également disponibles afin de gérer ces connexions :

ID de la règle Le numéro d'ID unique de cette règle de politique.
Résultat L'action entreprise pour les requêtes de connexion qui correspondent avec cette règle. Voir le tableau ci-dessous.
Connexion Réglez ce champ à « info » si vous voulez que chacune de ces connexions soit journalisées par syslog lorsque lesdites connexions sont acceptées.
Services prédéfinis Choisissez un service commun dans le menu contextuel ou entrez un nom ou un numéro de service dans le champ.
Protocole Le type de protocole associé à ce service.
Client La zone depuis laquelle la requête de connexion provient. La correspondance peut être réduite en spécifiant une adresse IP ou masque de sous-réseau précis, même un numéro de port. Laissez « - » dans le champ pour que la requête corresponde à n'importe quel port ou IP.
Serveur La zone vers laquelle la requête de connexion est dirigée. La correspondance peut être restreinte en spécifiant une IP ou un masque de sous-réseau précis, même un numéro de port. Laissez « - » dans le champ pour que la requête corresponde à n'importe quel port ou IP.
Adresse de transfert Si la requête cible une IP spécifique (ou si elle est réglée à « tout »), elle sera transférée à l'IP « Serveur » et au port. Dans ce cas, une adresse IP spécifique doit être présente dans le champ Serveur.
SNAT Si spécifiée, et si le transfert ci-haut est activé, l'adresse source de la requête sera réglée selon la valeur « SNAT » avant d'être transférée au serveur.

Voici une courte description des 4 actions disponibles :

ACCEPTER La connexion est permise.
RETIRER (« DROP ») La requête de connexion est ignorée.
REJETER La requête de connexion est bloquée et un message de « destination impossible à rejoindre » est envoyé au client.
CONTINUER La connexion n'est ni ACCEPTée, RETIRée ou REJETée. L'action CONTINUER peut être utilisée lorsqu'une ou les deux zones nommées dans l'entrée sont des sous-zones d'une autre zone, ou en croise une autre (zone).

Exemple : vous voulez que le serveur FTP sur 192.168.2.2 dans votre DMZ en mascarade soit accessible depuis votre sous-réseau local 192.168.1.0/24. Puisque le serveur est dans le sous-réseau 192.168.2.0/24, nous pouvons assumer que l'accès au serveur depuis ce sous-réseau n'impliquera pas le pare-feu.

Résultat ACCEPTER
Connexion
Services prédéfinis ftp
Protocole tcp
Client loc | 192.168.1.0/24
Serveur dmz | 192.168.2.2
Adresse de transfert 155.186.235.151
SNAT