Filtrage de paquets

Filtrage de paquets
Utilisation dAccess Control Lists (ACL)
squence de conditions dacceptation et de refus la premire condition qui correspond est utilise
lordre des conditions est important

En pratique
crer une ACL
numro + ensemble de conditions

appliquer lACL des interfaces

Yvan PETER - 2000

35

Filtrage de paquets
ACL standard
conditions sur ladresse source

ACL tendue
conditions sur les adresses source et destination et sur le type de protocole

ACL tendue dynamique

accs par utilisateur pour adresses source ou destination

Yvan PETER - 2000

36

Filtrage de paquets

Filtrage en entre (in)

Filtrage en sortie (out)

Yvan PETER - 2000

37

Filtrage de paquets
Cration dune ACL standard
access-list num {deny|permit} source [wildcard] access-list num {deny|permit} any

Cration dune ACL tendue

access-list num {deny|permit} protocol source scewildcard destination dest-wildcard [precedence prec] [tos tos] [established] access-list num {deny|permit} protocol any any access-list num {deny|permit} protocol host sce host dest

Yvan PETER - 2000

38

Filtrage de paquets
Application dune ACL une interface
ip access-group num {in|out}

Yvan PETER - 2000

39

Translation dadresse

Motivations
Permettre laccs Internet pour des htes qui nont pas dadresse publique Masquer les adresses utilises dans le rseau Solution de transition lors dune renumrotation

Yvan PETER - 2000

41

Types des translations

Plusieurs types de translations possibles :
Statique
Les translations dadresses sont dfinies statiquement

Dynamique
Les adresses sont attribues dynamiquement dans un pool

Overloading
Une seule adresse utilise, on joue sur les numros de port

Overlapping
Permet une communication entre deux rseaux qui utilisent les mmes numros

Yvan PETER - 2000

42

Principe
Inside
10.4.4.5

Outside

SA 10.1.1.1

SA 192.2.2.2

Internet

10.1.1.1

NAT Table
Inside Local IP Address Inside Global IP Address

10.1.1.1 10.4.4.5
Yvan PETER - 2000

192.2.2.2 192.3.3.6
43

Terminologie
C

Inside

D
SA 199.6.7.3

SA 199.6.7.3 DA 192.2.2.3

DA 10.1.1.2

Internet
SA 192.2.2.2

Host B 199.6.7.3

10.1.1.2
SA 10.1.1.1

B NAT Table
Inside Local IP Address Inside Global IP Address

10.1.1.1

A
Inside Local IP Address A Inside Global IP Address B Outside Global IP Address C Outside Local IP Address D
Yvan PETER - 2000

10.1.1.2 10.1.1.1

192.2.2.3 192.2.2.2
44

Translation d'adresse
Configuration d'une interface
ip nat {inside | outside}

translation statique d'adresse interne

ip nat inside source static @ip-locale @ipglobale

translation statique d'adresse externe

ip nat outside source static @ip-locale @ipglobale

Yvan PETER - 2000

45

Translation d'adresse
Dfinition d'un groupe d'adresses
ip nat pool nom @ip-dbut @ip-fin {netmask masque | prefix-length prefix-length}

translation dynamique d'adresse interne

ip nat inside source list acl pool nom

translation dynamique d'adresse externe

ip nat outside source list acl pool nom

Yvan PETER - 2000

46

Translation d'adresse
Overloading dadresse interne globale
ip nat inside source list acl pool nom overload

Yvan PETER - 2000

47

Gestion des timeouts

Changement du timeout de translation
ip nat translation timeout secondes

Cas de loverloading
UDP (dfaut 5 minutes) ip nat translation udp-timeout secondes TCP (dfaut 24 heures) ip nat translation tcp-timeout secondes ICMP (dfaut 1 minute) ip nat translation icmp-timeout secondes
Yvan PETER - 2000 48

Contrle de la translation
Effacer la table de translations
Clear ip nat translation *

Voir les translations en cours

show ip nat translations [verbose]

Voir les statistiques de translation

show ip nat statistics

Yvan PETER - 2000

49