Vous êtes sur le point de définir une nouvelle règle pour gérer une connexion spécifique entre deux zones différentes. Si la requête rejoint les critères définis sur cette page, l'action « Résultat » sera entreprise.
Voici une description des différents champs disponibles pour ce formulaire. Remplissez-les selon les critères correspondants pour que cette règle soit activée. Quelques options sont également disponibles afin de gérer ces connexions :
ID de la règle | Le numéro d'ID unique de cette règle de politique. |
Résultat | L'action entreprise pour les requêtes de connexion qui correspondent avec cette règle. Voir le tableau ci-dessous. |
Connexion | Réglez ce champ à « info » si vous voulez que chacune de ces connexions soit journalisées par syslog lorsque lesdites connexions sont acceptées. |
Services prédéfinis | Choisissez un service commun dans le menu contextuel ou entrez un nom ou un numéro de service dans le champ. |
Protocole | Le type de protocole associé à ce service. |
Client | La zone depuis laquelle la requête de connexion provient. La correspondance peut être réduite en spécifiant une adresse IP ou masque de sous-réseau précis, même un numéro de port. Laissez « - » dans le champ pour que la requête corresponde à n'importe quel port ou IP. |
Serveur | La zone vers laquelle la requête de connexion est dirigée. La correspondance peut être restreinte en spécifiant une IP ou un masque de sous-réseau précis, même un numéro de port. Laissez « - » dans le champ pour que la requête corresponde à n'importe quel port ou IP. |
Adresse de transfert | Si la requête cible une IP spécifique (ou si elle est réglée à « tout »), elle sera transférée à l'IP « Serveur » et au port. Dans ce cas, une adresse IP spécifique doit être présente dans le champ Serveur. |
SNAT | Si spécifiée, et si le transfert ci-haut est activé, l'adresse source de la requête sera réglée selon la valeur « SNAT » avant d'être transférée au serveur. |
Voici une courte description des 4 actions disponibles :
ACCEPTER | La connexion est permise. |
RETIRER (« DROP ») | La requête de connexion est ignorée. |
REJETER | La requête de connexion est bloquée et un message de « destination impossible à rejoindre » est envoyé au client. |
CONTINUER | La connexion n'est ni ACCEPTée, RETIRée ou REJETée. L'action CONTINUER peut être utilisée lorsqu'une ou les deux zones nommées dans l'entrée sont des sous-zones d'une autre zone, ou en croise une autre (zone). |
Exemple : vous voulez que le serveur FTP sur 192.168.2.2 dans votre DMZ en mascarade soit accessible depuis votre sous-réseau local 192.168.1.0/24. Puisque le serveur est dans le sous-réseau 192.168.2.0/24, nous pouvons assumer que l'accès au serveur depuis ce sous-réseau n'impliquera pas le pare-feu.
Résultat | ACCEPTER |
Connexion | |
Services prédéfinis | ftp |
Protocole | tcp |
Client | loc | 192.168.1.0/24 |
Serveur | dmz | 192.168.2.2 |
Adresse de transfert | 155.186.235.151 |
SNAT |