1.8. Configuration du NAT à l'aide de firewalld
Avec firewalld
, vous pouvez configurer les types de traduction d'adresses réseau (NAT) suivants :
- Mascarade
- Source NAT (SNAT)
- NAT de destination (DNAT)
- Redirection
1.8.1. Types de NAT
Il s'agit des différents types de traduction d'adresses réseau (NAT) :
- Masquerading et NAT à la source (SNAT)
Utilisez l'un de ces types de NAT pour modifier l'adresse IP source des paquets. Par exemple, les fournisseurs d'accès à Internet n'acheminent pas les plages d'adresses IP privées, telles que
10.0.0.0/8
. Si vous utilisez des plages d'adresses IP privées dans votre réseau et que les utilisateurs doivent pouvoir accéder à des serveurs sur Internet, mappez l'adresse IP source des paquets provenant de ces plages vers une adresse IP publique.La mascarade et le SNAT sont très semblables l'un à l'autre. Les différences sont les suivantes :
- Le masquage utilise automatiquement l'adresse IP de l'interface sortante. Par conséquent, il convient d'utiliser le masquage si l'interface sortante utilise une adresse IP dynamique.
- SNAT fixe l'adresse IP source des paquets à une IP spécifiée et ne recherche pas dynamiquement l'IP de l'interface sortante. Le SNAT est donc plus rapide que le masquage. Utilisez SNAT si l'interface sortante utilise une adresse IP fixe.
- NAT de destination (DNAT)
- Ce type de NAT permet de réécrire l'adresse et le port de destination des paquets entrants. Par exemple, si votre serveur web utilise une adresse IP d'une plage IP privée et n'est donc pas directement accessible depuis Internet, vous pouvez définir une règle DNAT sur le routeur pour rediriger le trafic entrant vers ce serveur.
- Redirection
- Ce type est un cas particulier de DNAT qui redirige les paquets vers la machine locale en fonction du crochet de la chaîne. Par exemple, si un service fonctionne sur un port différent de son port standard, vous pouvez rediriger le trafic entrant du port standard vers ce port spécifique.
1.8.2. Configuration du masquage d'adresses IP
Vous pouvez activer le masquage d'IP sur votre système. Le masquage d'IP dissimule les machines individuelles derrière une passerelle lorsqu'elles accèdent à l'internet.
Procédure
Pour vérifier si le masquage IP est activé (par exemple, pour la zone
external
), entrez la commande suivante en tant queroot
:# firewall-cmd --zone=external --query-masquerade
La commande imprime
yes
avec l'état de sortie0
si elle est activée. Dans le cas contraire, elle afficheno
avec l'état de sortie1
. Sizone
est omis, la zone par défaut sera utilisée.Pour activer le masquage IP, entrez la commande suivante à l'adresse
root
:# firewall-cmd --zone=external --add-masquerade
-
Pour rendre ce paramètre persistant, ajoutez l'option
--permanent
à la commande. Pour désactiver le masquage IP, entrez la commande suivante à l'adresse
root
:# firewall-cmd --zone=external --remove-masquerade
Pour rendre ce paramètre permanent, ajoutez l'option
--permanent
à la commande.