NAT et journalisation du pare-feu
La journalisation est l'outil de diagnostic numéro un en sécurité réseau. Sans logs, vous travaillez à l'aveugle. Cette leçon approfondit le NAT et montre comment exploiter les journaux pour diagnostiquer et détecter les menaces.
Le NAT en détail
Le NAT (Network Address Translation) est la raison pour laquelle des dizaines de postes internes peuvent partager une seule IP publique. Il fonctionne en modifiant les en-têtes des paquets IP à la volée.
PAT (Port Address Translation) — le mode le plus utilisé en PME :
- Le pare-feu remplace l'IP source privée (192.168.1.x) par son IP publique
- Il ajoute un port source unique pour chaque connexion dans sa table de traduction
- Au retour, il retrouve la connexion dans sa table et renvoie le paquet au bon poste interne
Poste A (192.168.1.10:54321) → internet → Pare-feu traduit en (82.45.x.x:54321)
Poste B (192.168.1.11:54322) → internet → Pare-feu traduit en (82.45.x.x:54322)
Port forwarding (DNAT) — exposer un service interne :
- Le pare-feu reçoit une connexion entrante sur son IP publique port 443
- Il la redirige vers le serveur web interne (ex : 192.168.1.50:443)
- L'internet "voit" le pare-feu, pas le serveur interne
Configuration dans pfSense : Firewall → NAT → Port Forward
Journalisation — lire les logs du pare-feu
Les logs du pare-feu enregistrent chaque connexion autorisée ou bloquée. Apprendre à les lire est essentiel pour le diagnostic réseau et la détection d'intrusions.
Un log typique contient :
- Date/heure de la connexion
- Interface (WAN, LAN, DMZ)
- Action (pass / block)
- Protocole (TCP, UDP, ICMP)
- IP source et port source
- IP destination et port destination
Exemple de log pfSense :