Académique Documents
Professionnel Documents
Culture Documents
Cyril Pain-Barre
IUT Informatique Aix-en-Provence
Cyril Pain-Barre
NAT/PAT et DNS
1 / 53
Cyril Pain-Barre
NAT/PAT et DNS
2 / 53
C
ote particuliers :
nombreux `a avoir choisi un abonnement ADSL ou cable paye au forfait et
qui restent connectes en permanence (que lattribution dadresse soit fixe
ou dynamique)
le prix des ordinateurs est tel quune famille poss`ede souvent plusieurs
ordinateurs qui doivent tous acceder `a Internet
du point de vue FAI, une famille a les memes besoins quune petite
entreprise
Si le CIDR a permis de regler en partie le probl`eme, lespace dadressage IPv4 demeure insuffisant !
Cyril Pain-Barre
NAT/PAT et DNS
3 / 53
NAT/PAT et DNS
4 / 53
WAN
Site NAT
(Internet)
n adresses publiques
NAT/PAT et DNS
5 / 53
Quelques precisions
une NATBox est un routeur avec les fonctionnalites NAT (la plupart
des routeurs, et les *box des FAI)
les stations du Site NAT nont pas connaissance des adresses publiques
de la NATBox et ne les utilisent pas
mais ont des adresses priv
ees quil est fortement conseille de prendre
dans les plages definies par la RFC 1918 :
10.0.0.0/8 soit 16 777 216 adresses (de 10.0.0.0 `a 10.255.255.255)
172.16.0.0/12 soit 1 048 576 adresses (de 172.16.0.0 `a 172.31.255.255)
192.168.0.0/16 soit 65 536 adresses (de 192.168.0.0 `a 192.168.255.255)
Site NAT
NATBox
WAN
rseau priv
10.0.0.0/8
(Internet)
partie "invisible" pour Internet
n adresses publiques
NAT/PAT et DNS
6 / 53
Precisions (suite)
`a linterieur du Site NAT, les stations communiquent entre elles en
utilisant leurs adresses privees
sans le NAT, un message envoye `a lexterieur ne pourrait avoir de
reponse car les adresses privees ne sont pas routables dans le WAN
la NATBox doit traduire (remplacer) dans un tel message, ladresse
privee par une adresse publique, et inversement pour la reponse
Sur un routeur CISCO, on definit les adresses publiques `a utiliser pour la
traduction (dynamique) dans un pool.
Exemple :
ip nat pool adrpub 82.3.4.6 82.3.4.10 netmask 255.255.255.0
Cyril Pain-Barre
NAT/PAT et DNS
7 / 53
139.124.187.4
82.3.4.5
Internet
10.0.0.1
NATBox
(pool 82.3.4.6 82.3.4.10)
Cyril Pain-Barre
NAT/PAT et DNS
8 / 53
priv
IP Source rseau
10.0.0.2
10.0.0.0/8
IP Dest.
139.124.187.4
10.0.0.3
139.124.187.4
82.3.4.5
Internet
10.0.0.1
NATBox
(pool 82.3.4.6 82.3.4.10)
Cyril Pain-Barre
NAT/PAT et DNS
9 / 53
139.124.187.4
82.3.4.5
rseau priv
10.0.0.0/8
10.0.0.1
10.0.0.3
NATBox
IP Source
82.3.4.6
IP Dest.
139.124.187.4
Internet
NAT/PAT et DNS
10 / 53
IP Source
139.124.187.4
IP Dest.
82.3.4.6
Internet
10.0.0.1
10.0.0.3
139.124.187.4
82.3.4.5
rseau priv
10.0.0.0/8
NATBox
(pool 82.3.4.6 82.3.4.10)
Cyril Pain-Barre
NAT/PAT et DNS
11 / 53
IP Source
139.124.187.4
10.0.0.2
IP Dest.
10.0.0.2
139.124.187.4
82.3.4.5
rseau priv
10.0.0.0/8
Internet
10.0.0.1
10.0.0.3
NATBox
(pool 82.3.4.6 82.3.4.10)
Cyril Pain-Barre
NAT/PAT et DNS
12 / 53
Terminologie du NAT
Issue de CISCO, la terminologie fait la distinction entre :
les adresses globales : adresses publiques routables (sur Internet) car
elles ont une signification `a portee globale
les adresses locales : nont un sens que localement, dans le Site NAT
Selon o`
u lon se trouve, on utilise lun de ces types dadresses :
`a lint
erieur (inside) du Site NAT, on utilise des adresses locales
`a lext
erieur (outside), on utilise des adresses globales
adresses locales
adresses globales
NATBox
Site NAT
Internet
Intrieur (inside)
localement, les adresses des messages sont libres
Cyril Pain-Barre
Extrieur (outside)
lextrieur, les adresses doivent tre publiques
NAT/PAT et DNS
13 / 53
adresses globales
NATBox
Site NAT
Internet
adresses locales
Intrieur (inside)
Cyril Pain-Barre
adresses globales
Extrieur (outside)
NAT/PAT et DNS
14 / 53
NAT/PAT et DNS
15 / 53
Site NAT
Internet
Intrieur (inside)
Extrieur (outside)
NAT/PAT et DNS
16 / 53
sortant
Site NAT
Internet
sortant
Site NAT
Internet
Cyril Pain-Barre
NAT/PAT et DNS
17 / 53
NAT/PAT et DNS
18 / 53
Variantes du NAT
Cyril Pain-Barre
NAT/PAT et DNS
19 / 53
Outside local
--NAT/PAT et DNS
Outside global
--20 / 53
10.1.1.1
82.3.4.10
AS
AS
AD
10.1.1.1
rseau priv
10.0.0.0/8
139.124.187.4
139.124.187.4
AD
82.3.4.5
AS
Internet
10.0.0.1
AD
82.3.4.5
10.0.0.3
rseau priv
10.0.0.0/8
139.124.187.4
Internet
10.0.0.1
NATBox
10.0.0.3
NATBox
ERREUR
10.0.0.3
(statique)
(statique)
10.1.1.1
AS
AS
AD
197.202.1.8
rseau priv
10.0.0.0/8
10.1.1.1
82.3.4.5 AD
197.202.1.8
82.3.4.10
Internet
82.3.4.9
Internet
10.0.0.1
NATBox
10.0.0.3
197.202.1.8
AD
82.3.4.5
rseau priv
10.0.0.0/8
10.0.0.1
AS
NATBox
10.0.0.3
(statique)
Cyril Pain-Barre
NAT/PAT et DNS
ERREUR
(statique)
21 / 53
NAT/PAT et DNS
22 / 53
AS
AD
10.0.0.3
rseau priv
10.0.0.0/8
139.124.187.4
10.2.2.2
10.1.1.1
pool 82.3.4.6 82.3.4.9
82.3.4.6
AS
10.0.0.3 autorise
AD 139.124.187.4
10.0.0.1
Internet
82.3.4.5
10.2.2.2
ERREUR
pool
82.3.4.6 82.3.4.9
10.0.0.3 autorise
AS
rseau10.2.2.2
priv
10.0.0.0/8
AD
139.124.187.410.0.0.1
82.3.4.5
NATBox
10.0.0.3
Internet
NATBox
10.0.0.3
(statique)
(dynamique)
(statique)
(dynamique)
AS
AD
182.13.28.5
rseau priv
10.0.0.0/8
10.0.0.3
10.2.2.2
10.1.1.1
10.0.0.1
AS
182.13.28.5
AD
82.3.4.6
82.3.4.5
Internet
10.2.2.2
rseau priv
10.0.0.0/8
NATBox
10.0.0.3
10.0.0.1
NATBox
10.0.0.3
(statique)
(dynamique)
Cyril Pain-Barre
NAT/PAT et DNS
AS
182.13.28.5
AD
82.3.4.7
Internet
82.3.4.5
ERREUR
(statique)
(dynamique)
23 / 53
Cyril Pain-Barre
NAT/PAT et DNS
24 / 53
Caracteristiques du PAT
Cyril Pain-Barre
NAT/PAT et DNS
25 / 53
Fonctionnement du PAT
Le PAT g`
ere et traduit des adresses dapplication, l`a o`
u le NAT
cree et g`ere des associations (AGI, ALI) avec des adresses IP
Rappel : les adresses dapplication sont des triplets (IP, Protocole, Port)
La NATBox (PAT) associe une adresse dapplication globale `a une
application dun hote interne qui entame un dialogue avec lexterieur
Pour cela, comme les adresses IP, les ports sont aussi traduits. Une
association a alors la forme :
(Protocole, ALI:PLI, AGI:PGI)
o`
u
Protocole : est UDP, TCP ou ICMP
PLI (Port Local Interne) : est le port utilise par lapplication locale
PGI (Port Global Interne) : est le port associ
e pour ladresse globale de
lapplication
Tout le b
en
efice du PAT r
eside dans la traduction des ports :
pour un Protocole donne, en attribuant un PGI different aux applications ayant besoin dun acc`es externe, une seule AGI suffit !
Cyril Pain-Barre
NAT/PAT et DNS
26 / 53
10.2.2.2
TCP
TCP
(S) 82.3.4.5:15001
10.0.0.3 autorise
(D) 143.28.12.40:22
rseau priv
(S) 10.0.0.3:15001
10.0.0.0/8
10.0.0.1
(D) 143.28.12.40:22
Internet
82.3.4.5
NATBox
10.0.0.3
Proto
tcp
Inside local
10.0.0.3:15001
Cyril Pain-Barre
NAT/PAT et DNS
27 / 53
(S) 82.3.4.5:15002
10.2.2.2 autorise
(S) 10.2.2.2:15001
(D) 195.3.66.1:25
rseau priv
(D) 195.3.66.1:25
10.0.0.0/8
Internet
10.0.0.1
82.3.4.5
TCP
TCP
10.1.1.1
NATBox
10.0.0.3
Proto
tcp
tcp
Inside local
10.0.0.3:15001
10.2.2.2:15001
Cyril Pain-Barre
NAT/PAT et DNS
28 / 53
TCP
10.2.2.2
rseau priv
(S) 143.28.12.40:22
10.0.0.0/8
(D) 10.0.0.3:15001 10.0.0.1
TCP
10.1.1.1
(S) 143.28.12.40:22
(D) 82.3.4.5:15001
Internet
82.3.4.5
NATBox
10.0.0.3
Proto
tcp
tcp
Inside local
10.0.0.3:15001
10.2.2.2:15001
Cyril Pain-Barre
NAT/PAT et DNS
29 / 53
(S) 195.3.66.1:25
rseau priv
(D) 10.2.2.2:15001
10.0.0.0/8
10.0.0.1
TCP
TCP
10.1.1.1
(S) 195.3.66.1:25
(D) 82.3.4.5:15002
Internet
82.3.4.5
NATBox
10.0.0.3
Proto
tcp
tcp
Inside local
10.0.0.3:15001
10.2.2.2:15001
Cyril Pain-Barre
NAT/PAT et DNS
30 / 53
10.2.2.2
TCP
10.1.1.1
rseau priv
10.0.0.0/8
10.0.0.1
Cyril Pain-Barre
Proto
tcp
tcp
(D) 82.3.4.5:15001
Internet
82.3.4.5
NATBox
10.0.0.3
(S) 110.80.81.82:22
NAT/PAT et DNS
ERREUR
Inside local
10.0.0.3:15001
10.2.2.2:15001
Outside
143.28.12.40:22
195.3.66.1:25
31 / 53
NAT/PAT et DNS
32 / 53
ICMP
10.2.2.2
rseau priv
(S) 10.0.0.3:0
10.0.0.0/8
(D) 194.199.116.4
ICMP
10.1.1.1
(S) 82.3.4.5:0
10.0.0.3 autorise
(D) 194.199.116.4
10.0.0.1
Proto
icmp
10.0.0.3
Internet
82.3.4.5
NATBox
table des traductions
Inside global
82.3.4.5:0
Inside local
10.0.0.3:0
Outside
194.199.116.4:0
10.2.2.2
ICMP
ICMP
10.1.1.1
(S) 82.3.4.5:1
10.0.0.3 autorise
(D) 201.3.4.21
10.0.0.1
Internet
82.3.4.5
NATBox
10.0.0.3
Proto
icmp
icmp
Inside local
10.0.0.3:0
10.1.1.1:0
Outside
194.199.116.4:0
201.3.4.21:1
NAT/PAT et DNS
33 / 53
(dest.)
ALE:PLE
Proto
ALI:PLI
(source)
Proto
Proto
message sortant
(source)
AGI:PGI
(dest.)
AGE:PGE
(source)
AGE:PGE
(dest.)
AGI:PGI
NATBox
Proto
Site NAT
Internet
(source)
ALE:PLE
(dest.)
ALI:PLI
message entrant
Intrieur (inside)
Extrieur (outside)
NAT/PAT et DNS
34 / 53
Outside local
143.28.12.40:22
195.3.66.1:25
194.199.116.4:0
201.3.4.21:1
Outside global
143.28.12.40:22
195.3.66.1:25
194.199.116.4:0
201.3.4.21:1
Seules sont traduites les adresses internes (Inside global et Inside local) : les
adresses externes (Outside local et Outside global) restent les memes.
Ceci car la traduction demandee est inside (interne). Pour que les adresses externes soient traduites (cas doverlapping), il faut aussi operer une traduction
outside.
Cyril Pain-Barre
NAT/PAT et DNS
35 / 53
Cyril Pain-Barre
NAT/PAT et DNS
36 / 53
Cyril Pain-Barre
NAT/PAT et DNS
37 / 53
NAT/PAT et DNS
38 / 53
NAT/PAT et DNS
39 / 53
Cyril Pain-Barre
NAT/PAT et DNS
40 / 53
Introduction
Se rappeler dune adresse IP est assez difficile, ex :
212.27.48.10
Mais alors de plusieurs (209.85.137.99, 139.124.187.4, . . . ),
cest franchement penible !
En revanche, retenir des noms comme www.free.fr,
www.google.com, allegro.iut.univ-aix.fr, cest bien
plus facile
Cest pourquoi le DNS existe : il permet de nommer des
ordinateurs et de resoudre des noms en adresses IP :
www.free.fr en 212.27.48.10
www.google.com en 209.85.137.99
allegro.iut.univ-aix.fr en 139.124.187.4
Cyril Pain-Barre
NAT/PAT et DNS
41 / 53
Origine du DNS
Au debut dinternet, lespace de noms etait plat et admettait
des noms de type :
serveur
capucine
gandalf
...
Cyril Pain-Barre
NAT/PAT et DNS
42 / 53
com
edu
org
...
fr
uk
toplevel domains
: France
: Royaume-Uni
: Allemagne
: le Tuvalu (qui en profite bien. . . )
Cyril Pain-Barre
NAT/PAT et DNS
43 / 53
NAT/PAT et DNS
44 / 53
Cyril Pain-Barre
NAT/PAT et DNS
45 / 53
DNS : terminologie
Le terme domaine designe `a la fois un domaine, un sous-domaine, etc :
fr, univ-aix.fr et iut.univ-aix.fr sont des domaines
Le nom dun domaine ne doit pas depasser 63 caract`eres
Les seuls caract`eres autorises sont les lettres a-z, les chiffres 0-9 et le
tiret Le DNS est insensible `a la casse :
iut.univ-aix.fr IUT.Univ-Aix.fr
Les points separent des labels : iut.univ-aix.fr est compose des 3
labels iut, univ-aix et fr
On ne peut distinguer un domaine dun nom dordinateur :
allegro.iut.univ-aix.fr est un domaine (correspondant `a un
ordinateur)
Un nom compl`etement qualifie ou FQDN (Fully Qualified Domain
Name) est un domaine contenant sa position dans la hierarchie et
devrait se terminer par un point : univ-aix.fr.
allegro nest pas un FQDN mais allegro.iut.univ-aix.fr. oui
Cyril Pain-Barre
NAT/PAT et DNS
46 / 53
serveur pour
com
serveur pour
google.com
serveur pour
org
serveur pour
lsis.org
Cyril Pain-Barre
...
serveur pour
fr
serveur pour
free.fr
serveur pour
univaix.fr
serveur pour
hd.free.fr
serveur pour
iut.univaix.fr
NAT/PAT et DNS
47 / 53
serveur pour
com
serveur pour
google.com
serveur pour
org
serveur pour
lsis.org
Cyril Pain-Barre
...
serveur pour
fr
serveur pour
free.fr et
hd.free.fr
NAT/PAT et DNS
serveur pour
univaix.fr et
iut.univaix.fr
48 / 53
Cyril Pain-Barre
NAT/PAT et DNS
49 / 53
DNS
UDP
TCP
IP
Cyril Pain-Barre
NAT/PAT et DNS
50 / 53
Cyril Pain-Barre
NAT/PAT et DNS
51 / 53
NAT/PAT et DNS
52 / 53
La resolution inverse
IN
PTR
allegro.iut.univ-aix.fr.
Cyril Pain-Barre
NAT/PAT et DNS
53 / 53