Appliances UTM NETASQ

HOW TO : Redirection explicite des

trafics vers un proxy

Version 1.0 - © NETASQ 2005

 NAT et proxy

Introduction

Sur les appliances UTM NETASQ, l’activation d’un proxy est permise grâce à la définition
automatique et implicite de règles de filtrage et de translation des trafics devant transiter par le
proxy. Cette création implicite est permise par le fonctionnement par interface des proxies des
appliances UTM NETASQ. En effet l’utilisation d’un proxy, soumise à une configuration
préalable de l’administrateur, nécessite de connaître le port et l’interface de provenance des
trafics qui seront redirigés vers le proxy. Ainsi lorsqu’il est actif tous les trafics en provenance de
l’interface spécifiée sont redirigés vers le proxy.

Dans ce cas, il est impossible d’effectuer un filtrage des utilisateurs ou des hôtes qui doivent
transiter par le proxy ou non. Ce document propose une solution alternative pour permettre un
tel filtrage.

Cette méthode se base sur la suppression des règles automatiques d’utilisation des proxies.

Redirection explicite des trafics vers un proxy

La redirection explicite de flux vers un proxy s’effectue en deux étapes :

1. Désactivation des règles implicites,

2. Création des règles explicites.

Désactivation des règles implicites

Pour permettre la création de règles explicites de redirection, il faut désactiver le module de

règles implicites pour le proxy à filtrer. Pour cela reportez-vous à la procédure suivante :

1. Connectez-vous en mode console à l’appliance UTM NETASQ qui doit être

configuré et éditez le fichier « /usr/Firewall/ConfigFiles/NAT/nat »,
2. Affectez la valeur « 0 » à la variable associée au proxy concerné (HttpProxy pour
désactiver les règles du proxy HTTP par exemple) de la section « Config »,
3. Validez les changements et fermez le fichier.

Création des règles explicites

La désactivation des règles implicites ne permet plus la redirection des trafics vers les proxies
des l’appliances UTM NETASQ, il est donc nécessaire de les réécrire explicitement. Les règles
à créer sont des règles de translation, éditez donc un tel slot selon l’image présentée ci-
dessous :

Dans un premier temps, il s’agit de définir une règle de translation « explicite » qui redirige un
certain type de trafic sur un des proxies de l’appliance UTM NETASQ. Dans l’exemple on
pratique une redirection des trafics HTTP vers le proxy HTTP. Les valeurs spécifiques à la
configuration choisie sont les suivantes :

Version 1.0 - © NETASQ 2005

Page 2 sur 4 Référence: na_tn_NATProxy_0905_fr
 NAT et proxy

- Interface : « in », ici seuls les trafics en provenance de l’interface « in » seront

redirigés vers le proxy,

- Action : « redirection », la règle de translation est forcément la redirection,

- Port destination : « HTTP », ce sont les trafics HTTP qui vont être redirigés,

- Translaté : « Adresse_Loopback-1 », pour contacter le proxy HTTP, il faut que les

trafics soient redirigés vers l’appliance lui-même donc il faut créer un objet
correspondant à une adresse de loopback de l’appliance, par exemple 127.0.0.1,

- Port translaté : « HTTP_proxy », les trafics HTTP interceptés seront redirigés vers le
proxy, il existe trois proxy (HTTP, SMTP et POP qui utilisent respectivement les ports
8080, 8081 et 8082 et qui sont nomment HTTP_proxy, SMTP_proxy et POP_proxy).

Activez le slot de translation d’adresse ainsi configuré.

Utilisation concrète de la redirection explicite des trafics vers un proxy HTTP

La redirection explicite de trafics vers un des proxies des appliances UTM NETASQ n’est pas
forcément nécessaire en soi puisque les mécanismes implicites disponibles sur les appliances
UTM mettent en place automatiquement ces règles. Cependant certains cas spécifiques
peuvent demander ce type de configuration.

Exemple 1 : Activation du proxy pour un trafic à destination d’une machine spécifique

Bien que le proxy s’active par défaut pour une interface spécifique, on peut cependant réduire
cette activation pour un trafic à destination d’une ou plusieurs machines.

Dans ce cas la politique de NAT doit alors être configurée de la façon suivante :

Les machines présentes sur l’interface « in » de l’appliance UTM sont redirigées sur le proxy
HTTP si elles souhaitent accéder au Site Web 1 ou Site Web 2 (ici pas de groupes possibles).

Exemple 2 : Activation du proxy pour un trafic en provenance d’une machine spécifique

Lorsque le proxy ne doit être utilisé que dans le cas d’une machine source définie la politique
de NAT doit alors être configurée de la façon suivante :

La « machine.1 » uniquement, présente sur l’interface « in » de l’appliance UTM, est redirigée

sur le proxy HTTP si elle souhaite accéder à un site WEB (ici les groupes de machines sources
sont possibles).

Version 1.0 - © NETASQ 2005

Page 3 sur 4 Référence: na_tn_NATProxy_0905_fr
 NAT et proxy

Exemple 3 : Exclure l’activation du proxy pour un trafic à destination de machines déterminées

Quelque fois il peut être nécessaire d’exclure certaines machines de destination du traitement
du proxy HTTP dans ce cas la politique de NAT doit être configurée de la façon suivante :

De cette façon, les machines présentes sur l’interface « in » de l’appliance UTM ne sont
redirigées pas sur le proxy HTTP si elles souhaitent accéder au Site Web 1 ou Site Web 2 (ici
pas de groupes possibles). La 3ème règle garantit le fonctionnement « normal » du proxy.

Exemple 4 : Exclure l’activation du proxy pour un trafic en provenance d’une machine donnée

De la même façon que pour l’exemple 3, il peut être nécessaire d’exclure des trafics en
provenance machines du traitement du proxy HTTP dans ce cas la politique de NAT doit être
configurée de la façon suivante :

ATTENTION : cette méthode ne fonctionne que pour UNE SEULE machine source exclue.

De cette façon, les machines présentes sur l’interface « in » de l’appliance UTM - sauf la
machine « machine.1 » - sont redirigées sur le proxy HTTP si elles souhaitent accéder à une
site WEB.

Rappel, pour obtenir la valeur du champ Original telle qu’elle est spécifiée dans l’image ci-
dessus, il faut sélectionner le motif « différent » dans l’édition des objets.

Version 1.0 - © NETASQ 2005

Page 4 sur 4 Référence: na_tn_NATProxy_0905_fr