Redirection explicite des trafics vers un proxy
Transcription
Redirection explicite des trafics vers un proxy
Appliances UTM NETASQ HOW TO : Redirection explicite des trafics vers un proxy Version 1.0 - © NETASQ 2005 NAT et proxy Introduction Sur les appliances UTM NETASQ, l’activation d’un proxy est permise grâce à la définition automatique et implicite de règles de filtrage et de translation des trafics devant transiter par le proxy. Cette création implicite est permise par le fonctionnement par interface des proxies des appliances UTM NETASQ. En effet l’utilisation d’un proxy, soumise à une configuration préalable de l’administrateur, nécessite de connaître le port et l’interface de provenance des trafics qui seront redirigés vers le proxy. Ainsi lorsqu’il est actif tous les trafics en provenance de l’interface spécifiée sont redirigés vers le proxy. Dans ce cas, il est impossible d’effectuer un filtrage des utilisateurs ou des hôtes qui doivent transiter par le proxy ou non. Ce document propose une solution alternative pour permettre un tel filtrage. Cette méthode se base sur la suppression des règles automatiques d’utilisation des proxies. Redirection explicite des trafics vers un proxy La redirection explicite de flux vers un proxy s’effectue en deux étapes : 1. Désactivation des règles implicites, 2. Création des règles explicites. Désactivation des règles implicites Pour permettre la création de règles explicites de redirection, il faut désactiver le module de règles implicites pour le proxy à filtrer. Pour cela reportez-vous à la procédure suivante : 1. Connectez-vous en mode console à l’appliance UTM NETASQ qui doit être configuré et éditez le fichier « /usr/Firewall/ConfigFiles/NAT/nat », 2. Affectez la valeur « 0 » à la variable associée au proxy concerné (HttpProxy pour désactiver les règles du proxy HTTP par exemple) de la section « Config », 3. Validez les changements et fermez le fichier. Création des règles explicites La désactivation des règles implicites ne permet plus la redirection des trafics vers les proxies des l’appliances UTM NETASQ, il est donc nécessaire de les réécrire explicitement. Les règles à créer sont des règles de translation, éditez donc un tel slot selon l’image présentée cidessous : Dans un premier temps, il s’agit de définir une règle de translation « explicite » qui redirige un certain type de trafic sur un des proxies de l’appliance UTM NETASQ. Dans l’exemple on pratique une redirection des trafics HTTP vers le proxy HTTP. Les valeurs spécifiques à la configuration choisie sont les suivantes : Version 1.0 - © NETASQ 2005 Page 2 sur 4 Référence: na_tn_NATProxy_0905_fr NAT et proxy - Interface : « in », ici seuls les trafics en provenance de l’interface « in » seront redirigés vers le proxy, - Action : « redirection », la règle de translation est forcément la redirection, - Port destination : « HTTP », ce sont les trafics HTTP qui vont être redirigés, - Translaté : « Adresse_Loopback-1 », pour contacter le proxy HTTP, il faut que les trafics soient redirigés vers l’appliance lui-même donc il faut créer un objet correspondant à une adresse de loopback de l’appliance, par exemple 127.0.0.1, - Port translaté : « HTTP_proxy », les trafics HTTP interceptés seront redirigés vers le proxy, il existe trois proxy (HTTP, SMTP et POP qui utilisent respectivement les ports 8080, 8081 et 8082 et qui sont nomment HTTP_proxy, SMTP_proxy et POP_proxy). Activez le slot de translation d’adresse ainsi configuré. Utilisation concrète de la redirection explicite des trafics vers un proxy HTTP La redirection explicite de trafics vers un des proxies des appliances UTM NETASQ n’est pas forcément nécessaire en soi puisque les mécanismes implicites disponibles sur les appliances UTM mettent en place automatiquement ces règles. Cependant certains cas spécifiques peuvent demander ce type de configuration. Exemple 1 : Activation du proxy pour un trafic à destination d’une machine spécifique Bien que le proxy s’active par défaut pour une interface spécifique, on peut cependant réduire cette activation pour un trafic à destination d’une ou plusieurs machines. Dans ce cas la politique de NAT doit alors être configurée de la façon suivante : Les machines présentes sur l’interface « in » de l’appliance UTM sont redirigées sur le proxy HTTP si elles souhaitent accéder au Site Web 1 ou Site Web 2 (ici pas de groupes possibles). Exemple 2 : Activation du proxy pour un trafic en provenance d’une machine spécifique Lorsque le proxy ne doit être utilisé que dans le cas d’une machine source définie la politique de NAT doit alors être configurée de la façon suivante : La « machine.1 » uniquement, présente sur l’interface « in » de l’appliance UTM, est redirigée sur le proxy HTTP si elle souhaite accéder à un site WEB (ici les groupes de machines sources sont possibles). Version 1.0 - © NETASQ 2005 Page 3 sur 4 Référence: na_tn_NATProxy_0905_fr NAT et proxy Exemple 3 : Exclure l’activation du proxy pour un trafic à destination de machines déterminées Quelque fois il peut être nécessaire d’exclure certaines machines de destination du traitement du proxy HTTP dans ce cas la politique de NAT doit être configurée de la façon suivante : De cette façon, les machines présentes sur l’interface « in » de l’appliance UTM ne sont redirigées pas sur le proxy HTTP si elles souhaitent accéder au Site Web 1 ou Site Web 2 (ici pas de groupes possibles). La 3ème règle garantit le fonctionnement « normal » du proxy. Exemple 4 : Exclure l’activation du proxy pour un trafic en provenance d’une machine donnée De la même façon que pour l’exemple 3, il peut être nécessaire d’exclure des trafics en provenance machines du traitement du proxy HTTP dans ce cas la politique de NAT doit être configurée de la façon suivante : ATTENTION : cette méthode ne fonctionne que pour UNE SEULE machine source exclue. De cette façon, les machines présentes sur l’interface « in » de l’appliance UTM - sauf la machine « machine.1 » - sont redirigées sur le proxy HTTP si elles souhaitent accéder à une site WEB. Rappel, pour obtenir la valeur du champ Original telle qu’elle est spécifiée dans l’image cidessus, il faut sélectionner le motif « différent » dans l’édition des objets. Version 1.0 - © NETASQ 2005 Page 4 sur 4 Référence: na_tn_NATProxy_0905_fr