Télécharger

Bridge et Trunk
Série firewall ZyXEL USG
à partir de la version de firmware 4.10
Knowledge Base KB-3527
Septembre 2014
Studerus AG
BRIDGE ET TRUNK
Parallèlement au routage NAT normal pour la zone LAN, l’USG permet aussi de réaliser des
connexions passerelle (bridge) dans la DMZ. En mode transparent, les ordinateurs de la DMZ
fonctionnent directement avec des adresses IP publiques. Cependant, les règles de firewall et les
services UTM de l’USG sont en action et permettent ainsi un fonctionnement sécurisé de ressources
utilisées publiquement.
Accès Internet
avec IP publique fixe :
212.243.142.229 / 255.255.255.248
Server / PC 2
avec IP fixe publique :
212.243.142.230 / 255.255.255.248
DMZ (bridge)
USG
Mgmt-IP: 192.168.1.1
LAN1 (192.168.1.0)
PC 1
IP 192.168.1.33
Créer l’interface de la passerelle
Configuration > Network > Interface > Bridge > Add crée une nouvelle connexion passerelle :
.
Bridge et Trunk
2
KB-3509 / SRU
Le type d’interface Interface-Type = external a pour effet que la nouvelle interface de la passerelle
est automatiquement repris dans le System-Default-Trunk. Ainsi, il n’est pas nécessaire de créer
manuellement de Policy Routes pour le routage entre les zones locales et l’accès à Internet. La
section IP Address Assignment correspond ainsi à la configuration WAN d’une interface WAN. Il
n’est pas possible de « bridger » une connexion WAN PPPoE.
La sélection de la Zone = WAN ajoute la nouvelle interface dans la zone WAN. Ainsi, le jeu de
règles de firewall actuel est toujours valable.
La Member Configuration établit une liste des interfaces physiques qui appartiennent à partir de
maintenant à l’interface logique br0. Les interfaces wan1 et dmz utilisées dans l’exemple ne sont
plus relevantes pour l’USG, toutes les règles relatives à ces interfaces peuvent être ignorées.
Configuration > Network > Interface > Bridge > Add
Avec cette étape, la configuration est déjà terminée. Le serveur est maintenant accessible par l’USG
sur son adresse IP publique.
Bridge et Trunk
3
KB-3509 / SRU
Trunk
Lors de l’utilisation du System-Default-Trunk, il n’est pas nécessaire d’effectuer d’autres
configurations pour le routage, la passerelle br0 a été ajoutée automatiquement.
Configuration > Network > Interface > Trunk > SYSTEM_DEFAULT_WAN_TRUNK
Firewall
La direction des données à partir du
réseau public sur l’interface wan1 vers
le serveur public sur l’interface dmz
correspond au WAN to WAN, parce
que les deux interfaces appartiennent
à la zone WAN par l’intermédiaire de
la définition de la passerelle.
Ceci est important pour la définition
de règles de firewall et pour les polices
de sécurité.
L’impression écran montre un exemple
pour capturer dans le log un Ping de
l’Internet vers le serveur.
Bridge et Trunk
4
KB-3509 / SRU
Monitor
Le Packet Flow Explorer donne des informations sur le routage de la connexion passerelle br0
utilisée par l’USG.
Maintenance > Packet Flow Explore > Routing-Status > Main Route
Bridge et Trunk
5
KB-3509 / SRU