nat Flashcards
(6 cards)
4.2.1 Citez trois avantages et trois inconvénients liés à l’utilisation de la traduction d’adresses réseau.
4.2.1 Citez trois avantages et trois inconvénients liés à l’utilisation de la traduction d’adresses réseau.
Avantages :
Cohérence des schémas d’adressage interne :
Économie d’adresses publiques :
Sécurité renforcée : les adresses privées réelles ne sont pas exposées à Internet.
Inconvénients :
Dégradation des performances
Incompatibilité avec certaines applications
Complexification du dépannage
4.2.2 Citez deux méthodes de configuration de la NAT sur un FortiGate. Dans quel cas est-il plus intéressant d’utiliser une méthode plutôt que l’autre ?
4.2.2 Citez deux méthodes de configuration de la NAT sur un FortiGate. Dans quel cas est-il plus intéressant d’utiliser une méthode plutôt que l’autre ?
Mode « Firewall Policy NAT »
lie NAT et filtrage dans la même règle.
Quand l’utiliser ? Idéal pour les petits réseaux où chaque traduction est liée à une seule règle.
Mode « Central NAT »
isole toutes les traductions dans un premier bloc, puis laisse les politiques de pare-feu se concentrer uniquement sur le filtrage sans se soucier du NAT.
Quand l’utiliser ? Adapté aux environnements complexes : on dissocie la logique NAT de la logique filtrage, et on peut réutiliser des mêmes traductions pour plusieurs politiques.
4.2.3 Citez deux manières de configurer de la SNAT dans votre site/agence (donc pas celles de type Carrier-Grade NAT).
4.2.3 Citez deux manières de configurer de la SNAT dans votre site/agence (donc pas celles de type Carrier-Grade NAT).
SNAT via interface de sortie : activez simplement NAT dans la règle pour que l’adresse source interne soit remplacée par celle de l’interface WAN (PAT automatique).
SNAT avec IP pool : choisissez un pool d’adresses publiques pour que chaque hôte interne soit traduits soit en surcharge (Overload/PAT), soit en correspondance 1:1 selon le type de pool.
4.2.4 Citez les différents types de pools IP utilisables pour faire de la SNAT.
4.2.4 Citez les différents types de pools IP utilisables pour faire de la SNAT.
Overload (PAT) : le FortiGate partage les adresses du pool en utilisant le même IP public (ou l’une des IP du pool) pour toutes les connexions internes, en différenciant chaque flux par un port distinct, ce qui économise les IP publiques.
One-to-One (NAT dynamique) : chaque adresse interne se voit attribuer dynamiquement la première adresse libre du pool en conservant son port, jusqu’à épuisement du pool, garantissant une IP externe fixe pour chaque hôte.
4.2.5 À quoi sert un objet VIP (Virtual IP) ?
4.2.5 À quoi sert un objet VIP (Virtual IP) ?
Un VIP (Virtual IP) est un objet DNAT qui associe une adresse IP publique à une adresse interne (mode static NAT), permet de rediriger des ports spécifiques (port forwarding), gère automatiquement le SNAT des réponses et peut répartir le trafic entrant sur plusieurs hôtes (load-balancing).
4.2.6 Expliquez la notion de « port forwarding ».
4.2.6 Expliquez la notion de « port forwarding ».
Le port forwarding est un mode de VIP où l’on désactive le mappage statique et on définit une adresse publique + port externes (extIP:extPort) et une adresse interne + port internes (mappedIP:mappedPort) ; ainsi, tout trafic vers extIP:extPort est automatiquement redirigé vers mappedIP:mappedPort, et l’on peut créer plusieurs VIP de ce type sur la même extIP en changeant uniquement le port externe..
Exemple concret (tiré du cours) :
VIP « WebServer-Ext » : extIP = 70.70.70.71, extPort = 443, mappedIP = 172.16.1.10, mappedPort = 443.
Toute connexion TCP vers 70.70.70.71:443 sera redirigée vers 172.16.1.10:443.
On peut définir plusieurs VIP de port-forwarding sur la même extIP en changeant uniquement extPort (ex. port 222 → 172.16.1.20:22 pour un serveur SSH).
