Administration Rseau Niveau routage

Protocole de Transport Frontire du sous-rseau Rseau 2 1 Liaison Physique Physique

Intrt du NAT (Network Address Translation)

Possibilit dutilisation dadresses prives dans lIntranet

Transport

Tout en rendant possible laccs lextrieur depuis et vers ces machines Au dpart pour conu pour conomiser des adresses Vue de lextrieur: Plage dadresse publique Scurit: Rend invisible la conguration dun Intranet

P. Sicard-Cours Rseaux

Translation dadresse NAT 1

P. Sicard-Cours Rseaux

Translation dadresse NAT 2

Principe NAT
On doit administrer un Intranet On possde une liste dadresse publique qui nous a t attribu Par exemple: 195.0.0.129/25 195.0.0.255/25 (rseau 195.0.0.128/25) Il existe sur notre Intranet un routeur de sortie vers lInternet qui va implmenter la translation dadresse
Routeur NAT

Exemple dIntranet
On donne une adresse prive chaque machine de lIntranet Liste des adresses prives 10.0.0.0 - 10.255.255.255 (10/8 prex) 172.16.0.0 - 172.31.255.255 (172.16/12 prex) 192.168.0.0 - 192.168.255.255 (192.168/16 prex) Une des adresses publiques linterface de sortie du routeur
Routeur NAT

195.0.0.254 10.0.0.3 Vers Internet Intranet

10.0.0.2

10.0.0.1

P. Sicard-Cours Rseaux

Translation dadresse NAT 3

P. Sicard-Cours Rseaux

Translation dadresse NAT 4

NAT: principe
Le routeur de sortie va modier lentte IP de tout paquet provenant dune machine interne en remplaant ladresse source IP prive par une adresse publique Vue de lextrieur, le routeur se fait passer pour la machine source Deux types de NAT : statique et dynamique
Statique la correspondance @ Prive / @ publique est xe Dynamique : elle peut changer dans le temps
Routeur NAT

NAT STATIQUE: principe

Problmes et conguration du routage
Il faut que le routeur se fasse passer pour lensemble des machines dadresses publiques au niveau des requtes ARP du premier routeur extrieur Proxy ARP: le routeur NAT met dans sa table ARP son adresse Ethernet pour toutes les adresses publiques Au retour dun paquet dans le routeur NAT , il faut quil redirige le paquet vers la bonne machine de lIntranet Il doit donc avoir dans sa table de routage 195.0.0.129 10.0.0.1 (netmask 255.255.255.255)

Vers Internet paquet @Source 195.0.0.129

P. Sicard-Cours Rseaux

Intranet paquet @IPSource 10.0.0.1

Translation dadresse NAT 5

Pour ladresse 195.0.0.129 envoyer 10.0.0.1

P. Sicard-Cours Rseaux

Translation dadresse NAT 6

Intret NAT STATIQUE: principe

Intranet invisible depuis lextrieur Administration en cas de changement de lIntranet seulement sur routeur Economise des adresses en cas de dcoupage de lIntranet en sousrseaux (adresses perdues cause du dcoupage) Mais on nconomise pas dadresses publiques Pour cela il faut alors faire de la NAT dynamique

NAT dynamique ou IP masquerading : principe

Permet dattribuer dynamiquement lors des connexions des adresses IP publiques aux adresses prives Ladresse source des paquets devient ladresse externe du routeur Problme : comment le routeur se rappelle-t-il des correspondances ?
Routeur NAT

195.0.0.254 Vers Internet paquet @Source 195.0.0.254 Intranet

10.0.0.1

paquet @IPSource 10.0.0.1

P. Sicard-Cours Rseaux

Translation dadresse NAT 7

P. Sicard-Cours Rseaux

Translation dadresse NAT 8

Lassociation connexion/@prive
Se fait au moment du premier paquet qui sort en se rappelant le numro de port source Problme : si plusieurs connexions avec mme port source en mme temps ? Attribution dun port source virtuel unique chaque connexion

Nat Dynamique
Une seule adresse publique suft pour un nombre quelconque de machines dans lIntranet On ne peut pas initier une connexion depuis lextrieur Impossibilit davoir un serveur WEB par exemple dans lIntranet (en fait si voir aprs le port forwarding)

195.0.0.254 Vers Internet Port source 5000 @Source 195.0.0.254 Intranet

10.0.0.1

paquet Port source 2354 @IPSource 10.0.0.1

Mmorisation dans la table NAT 5000: 10.0.0.1 2354

P. Sicard-Cours Rseaux Translation dadresse NAT 9 P. Sicard-Cours Rseaux Translation dadresse NAT 10

Le port forwarding
Utiliser dans la NAT dynamique pour rendre une machine accessible depuis lextrieur On mets en dur dans la table NAT du routeur
port xe: port prive/ adresse prive Par exemple 21: 21/10.0.0.1 (port dun serveur FTP) Les paquets arrivant de lextrieur vers 195.0.0.254, 21 seront redirigs vers 10.0.0.1, 21 Problme si deux serveurs FTP sur 2 machines diffrentes ?

Problmes Nat Dynamique

Applications nutilisant pas UDP/TCP
Exemple ICMP Il faut faire une conguration spciale du routeur pour lui dire de se rfrer autre chose que le port Le numro didentiant du paquet ICMP par exemple

Lapplication FTP
Rappel en mode actif: En cas dune connexion sur un serveur extrieur La connexion pour les donnes est initie depuis le serveur Il ne peut tre utilis quen mode passif dans lequel toutes les connexions sont inities depuis le client Les donnes de FTP contiennent des informations se rapportant aux adresses IP
P. Sicard-Cours Rseaux Translation dadresse NAT 12

Le port mapping consiste changer de port sur la machine interne

Par exemple : 80: 8080/10.0.0.1 Un serveur http est lanc sur 10.0.0.1 sur le port 8080

P. Sicard-Cours Rseaux

Translation dadresse NAT 11

Problmes Nat Dynamique

Authentication et cryptage:
Pas de mcanisme dauthentication de bout en bout puisque le paquet est modi Encryptage de lentte IP la source et vrication larrive Possibilit de tunneling (mise en place de Tunnel IPSEC vers lextrieur)

Problmes Nat Dynamique

Pas de mcanisme dauthentication de bout en bout puisque le paquet est modi Encryptage de lentte IP la source et vrication larrive Possibilit de tunneling (mise en place de Tunnel IPSEC vers lextrieur) Argument des opposants au NAT: non indpendance des couches

Le routeur a du travail supplmentaire

re calcul des checksums IP TCP et UDP modication des donnes FTP... (fait par proxy) limitation de la bande passante si le routeur nest pas assez puissant

Combinaison Nat Statique et Dynamique

Statique:
Intressant si certaines machines de lIntranet doivent tre visibles depuis lextrieur (serveur WEB ...)

Dynamique:
Economie dadresse Scurit

Argument des opposants au NAT: non indpendance des couches

P. Sicard-Cours Rseaux Translation dadresse NAT 13

P. Sicard-Cours Rseaux

Translation dadresse NAT 14

Les proxys
Relai entre deux entits Analyse le contenu des donnes de lapplication Ddi une application
proxy http proxy ftp ...

Les proxys
Souvent multi-proxy: application qui gre lensemble des applications usuelles Permet de faire du cache Permet deffectuer certains ltres
Suivant les comptes utilisateurs pour FTP par exemple Suivant les adresses sources... Contenu des pages WEB ... Dtection de virus

Il faut spcier au niveau de lapplication lexistence du proxy (effectu par lutilisateur) Mais il existe aussi des proxy-transparents (redirection au niveau routage et donc invisible lutilisateur) Voir dtail dans le cours sur les pare-feux

Permet de faire des statistiques

P. Sicard-Cours Rseaux

Translation dadresse NAT 15

P. Sicard-Cours Rseaux

Translation dadresse NAT 16

Exercice sur NAT (Network Address Translation)

NAT STATIQUE: Donnez un plan dadressage pour lIntranet donn dans le transparent suivant avec des adresses prives Donnez les tables de routage des routeurs et des machines pour que lensemble des machines de lIntranet puissent communiquer avec lextrieur (Internet) Donnez la table ARP du routeur de sortie

Exercice sur NAT

NAT STATIQUE/DYNAMIQUE: On utilise de la NAT dynamique pour lensemble des machines de lIntranet On veut mettre sur la machine servant de serveur de chier SF1 un serveur WEB et un serveur SFTP accessibles depuis lextrieur Combien dadresse publique est il ncessaire de possder ? Donnez les tables de routage des routeurs et des machines pour que lensemble des machines de lIntranet puissent communiquer avec lextrieur (Internet)

P. Sicard-Cours Rseaux

Translation dadresse NAT 17

P. Sicard-Cours Rseaux

Translation dadresse NAT 18

INTRANET
CADRES ADMINISTRATIFS

Exercice sur NAT

NAT STATIQUE/DYNAMIQUE:

Switch Switch

On ne veut pas utiliser de NAT statique Comment congurer le routeur de sortie (table NAT) pour que les serveurs WEB et Sftp sur SF1 soient accessibles depuis lextrieur ?

R2 R3

INTERNET

R1 Switch R4 SF1 SF2 ATELIERS Switch

P. Sicard-Cours Rseaux

Translation dadresse NAT

19

P. Sicard-Cours Rseaux

Translation dadresse NAT 20

Exercice sur NAT STATIQUE/DYNAMIQUE

On utilise de la NAT dynamique pour lensemble des machines de Atelier et Administratif On veut utiliser de la NAT statique pour les machines cadres On veut mettre sur la machine servant de serveur de chier SF1 un serveur WEB et un serveur SFTP accessibles depuis lextrieur Combien dadresse publique est il ncessaire de possder ? Donnez les tables de routage des routeurs et des machines pour que lensemble des machines cadres puissent communiquer avec lextrieur (Internet) Peux t-on accder aux machines administratif et atelier depuis Internet ? Et dans lautre sens ?
P. Sicard-Cours Rseaux Translation dadresse NAT 21

Exercice sur NAT (Network Address Translation)

NAT STATIQUE/DYNAMIQUE: Mettre dans le cas de la conguration prcdente les ltres ncessaires sur le routeur de sortie pour que les ateliers et administratif ne puissent pas accder lInternet Mme question si lon veut bloquer toute communication des cadres avec Internet sauf serveur WEB et serveur ssh ?

P. Sicard-Cours Rseaux

Translation dadresse NAT 22