Академический Документы
Профессиональный Документы
Культура Документы
Introduction
Sur les appliances UTM NETASQ, l’activation d’un proxy est permise grâce à la définition
automatique et implicite de règles de filtrage et de translation des trafics devant transiter par le
proxy. Cette création implicite est permise par le fonctionnement par interface des proxies des
appliances UTM NETASQ. En effet l’utilisation d’un proxy, soumise à une configuration
préalable de l’administrateur, nécessite de connaître le port et l’interface de provenance des
trafics qui seront redirigés vers le proxy. Ainsi lorsqu’il est actif tous les trafics en provenance de
l’interface spécifiée sont redirigés vers le proxy.
Dans ce cas, il est impossible d’effectuer un filtrage des utilisateurs ou des hôtes qui doivent
transiter par le proxy ou non. Ce document propose une solution alternative pour permettre un
tel filtrage.
Cette méthode se base sur la suppression des règles automatiques d’utilisation des proxies.
La désactivation des règles implicites ne permet plus la redirection des trafics vers les proxies
des l’appliances UTM NETASQ, il est donc nécessaire de les réécrire explicitement. Les règles
à créer sont des règles de translation, éditez donc un tel slot selon l’image présentée ci-
dessous :
Dans un premier temps, il s’agit de définir une règle de translation « explicite » qui redirige un
certain type de trafic sur un des proxies de l’appliance UTM NETASQ. Dans l’exemple on
pratique une redirection des trafics HTTP vers le proxy HTTP. Les valeurs spécifiques à la
configuration choisie sont les suivantes :
- Port destination : « HTTP », ce sont les trafics HTTP qui vont être redirigés,
- Port translaté : « HTTP_proxy », les trafics HTTP interceptés seront redirigés vers le
proxy, il existe trois proxy (HTTP, SMTP et POP qui utilisent respectivement les ports
8080, 8081 et 8082 et qui sont nomment HTTP_proxy, SMTP_proxy et POP_proxy).
La redirection explicite de trafics vers un des proxies des appliances UTM NETASQ n’est pas
forcément nécessaire en soi puisque les mécanismes implicites disponibles sur les appliances
UTM mettent en place automatiquement ces règles. Cependant certains cas spécifiques
peuvent demander ce type de configuration.
Bien que le proxy s’active par défaut pour une interface spécifique, on peut cependant réduire
cette activation pour un trafic à destination d’une ou plusieurs machines.
Dans ce cas la politique de NAT doit alors être configurée de la façon suivante :
Les machines présentes sur l’interface « in » de l’appliance UTM sont redirigées sur le proxy
HTTP si elles souhaitent accéder au Site Web 1 ou Site Web 2 (ici pas de groupes possibles).
Lorsque le proxy ne doit être utilisé que dans le cas d’une machine source définie la politique
de NAT doit alors être configurée de la façon suivante :
Quelque fois il peut être nécessaire d’exclure certaines machines de destination du traitement
du proxy HTTP dans ce cas la politique de NAT doit être configurée de la façon suivante :
De cette façon, les machines présentes sur l’interface « in » de l’appliance UTM ne sont
redirigées pas sur le proxy HTTP si elles souhaitent accéder au Site Web 1 ou Site Web 2 (ici
pas de groupes possibles). La 3ème règle garantit le fonctionnement « normal » du proxy.
Exemple 4 : Exclure l’activation du proxy pour un trafic en provenance d’une machine donnée
De la même façon que pour l’exemple 3, il peut être nécessaire d’exclure des trafics en
provenance machines du traitement du proxy HTTP dans ce cas la politique de NAT doit être
configurée de la façon suivante :
ATTENTION : cette méthode ne fonctionne que pour UNE SEULE machine source exclue.
De cette façon, les machines présentes sur l’interface « in » de l’appliance UTM - sauf la
machine « machine.1 » - sont redirigées sur le proxy HTTP si elles souhaitent accéder à une
site WEB.
Rappel, pour obtenir la valeur du champ Original telle qu’elle est spécifiée dans l’image ci-
dessus, il faut sélectionner le motif « différent » dans l’édition des objets.