Network

Un paquet subit plusieurs traitements dès qu'il rentre dans un pare-feu Palo-Alto. Parmi ces opérations, nous pouvons citer par exemple l'application d'une règle de translation (NAT: Network Address Translation), l'application d'une règle de trafic, l'évaluation de la zone, l'allocation d'une session, etc. Pour avoir plus de détails sur le cycle de vie d'un paquet, vous pouvez consulter[1].

Nous verrons dans cet article comment configurer une règle de translation et un règle de flux afin par exemple d'établir la communication:

  • Du réseau local vers Internet
  • Des utilisateurs sur Internet vers un serveur au sein du réseau local

 

[2-4] présentent en détail le traitement effectué sur un paquet lorsqu'il y a une translation d'adresse IP, une règle de flux. De ces trois documents, nous pouvons retenir entre autres que:

  • Le NAT dépend des zones associées aux adresses IP source et destination
  • Les règles sont toujours appliquées en fonction du paquet original

 

Du réseau local vers Internet : la translation d'adresse IP source, trafic sortant

Supposons que des utilisateurs du réseau 192.168.1.0/24 souhaitent naviguer sur Internet. L'administrateur souhaite traduire ces adresses par 1.1.1.0/24.
La règle de NAT sera:

• Zone source: Lan
• Zone destination: Untrust
• Adresse IP source: Adresse IP privée orignal. Dans notre cas, 192.168.1.0/24
• Adresse IP destination: n'importe laquelle ou any
• Service: http par exemple
• Source translatée: 1.1.1.0/24
• Destination translatée: aucune

Le règle de trafic sera:

• Zone source: Lan
• Zone destination: Untrust
• Adresse IP source: adresse IP privée orignal. Dans notre cas, une adresse dans le sous-réseau 192.168.1.0/24
• Adresse IP destination: n'importe laquelle ou any
• Application: web-browsing par exmple
• Service: application-default
• Action: autoriser

 

D'Internet vers le réseau local: la translation d'adresse IP destination, trafic entrant

Supposons que des utilisateurs sur Internet souhaitent naviguer vers le serveur web 40.30.20.10/24. Ce serveur est hébergé dans notre DMZ sous l'adresse IP 192.168.20.1/24. Une traduction sera donc faite sur l'adresse IP de destination des requêtes de ces utilisateurs.

La règle de NAT sera:

• Zone source: Untrust
• Zone destination: Untrust
• Adresse IP source: n'importe laquelle ou any
• Adresse IP destination: adresse IP original 40.30.20.10/24
• Service: http
• Source translatée: aucune
• Destination translatée: 192.168.20.1/24

Vous avez peut être remarqué que les zones sources et destination sont identiques; Ce n'est pas une erreur. En effet il y a une subtilité sur la translation d'adresse destination sous Palo Alto. Pour déterminer la zone de destination le pare-feu évalue sa table de routage afin de déterminer vers quelle interface sortir pour atteindre l'adresse 40.30.20.10/24. Dans notre cas c'est une interface qui est dans la zone Untrust, la zone de destination.

Le règle de trafic sera:

• Zone source: Untrust
• Zone destination: DMZ
• Adresse IP source: n'importe laquelle ou any
• Adresse IP destination: adresse IP original 40.30.20.10/24
• Application: web-browsing
• Service: application-default
• Action: autoriser

Vous remarquez que les adresse IP source et destination sont les adresses originales du paquet. Pour déterminer la zone de destination l'une de ces deux méthodes est utilisée:

• Déterminer le réseau où est connecté physiquement le serveur. Dans ce cas, 192.168.20.1/24 qui est dans la zone DMZ
• Le pare-feu évalue sa table de routage afin de déterminer vers quelle interface sortir pour atteindre 192.168.20.1/24. Dans ce cas c'est une interface qui est dans la zone DMZ.

 

Références

1. https://live.paloaltonetworks.com/t5/Learning-Articles/Packet-Flow-Sequence-in-PAN-OS/ta-p/56081
2. https://www.paloaltonetworks.com/documentation/80/pan-os/pan-os/networking/nat/nat-configuration-examples/destination-nat-exampleone-to-one-mapping
3. https://mdssh.com/UnderstandingNAT.pdf
4. https://live.paloaltonetworks.com/twzvq79624/attachments/twzvq79624/documentation_tkb/549/1/Understanding_NAT-4.1-RevC.pdf