Académique Documents
Professionnel Documents
Culture Documents
Transport
Tout en rendant possible laccs lextrieur depuis et vers ces machines Au dpart pour conu pour conomiser des adresses Vue de lextrieur: Plage dadresse publique Scurit: Rend invisible la conguration dun Intranet
P. Sicard-Cours Rseaux
P. Sicard-Cours Rseaux
Principe NAT
On doit administrer un Intranet On possde une liste dadresse publique qui nous a t attribu Par exemple: 195.0.0.129/25 195.0.0.255/25 (rseau 195.0.0.128/25) Il existe sur notre Intranet un routeur de sortie vers lInternet qui va implmenter la translation dadresse
Routeur NAT
Exemple dIntranet
On donne une adresse prive chaque machine de lIntranet Liste des adresses prives 10.0.0.0 - 10.255.255.255 (10/8 prex) 172.16.0.0 - 172.31.255.255 (172.16/12 prex) 192.168.0.0 - 192.168.255.255 (192.168/16 prex) Une des adresses publiques linterface de sortie du routeur
Routeur NAT
10.0.0.2
10.0.0.1
P. Sicard-Cours Rseaux
P. Sicard-Cours Rseaux
NAT: principe
Le routeur de sortie va modier lentte IP de tout paquet provenant dune machine interne en remplaant ladresse source IP prive par une adresse publique Vue de lextrieur, le routeur se fait passer pour la machine source Deux types de NAT : statique et dynamique
Statique la correspondance @ Prive / @ publique est xe Dynamique : elle peut changer dans le temps
Routeur NAT
P. Sicard-Cours Rseaux
10.0.0.1
P. Sicard-Cours Rseaux
P. Sicard-Cours Rseaux
Lassociation connexion/@prive
Se fait au moment du premier paquet qui sort en se rappelant le numro de port source Problme : si plusieurs connexions avec mme port source en mme temps ? Attribution dun port source virtuel unique chaque connexion
Nat Dynamique
Une seule adresse publique suft pour un nombre quelconque de machines dans lIntranet On ne peut pas initier une connexion depuis lextrieur Impossibilit davoir un serveur WEB par exemple dans lIntranet (en fait si voir aprs le port forwarding)
10.0.0.1
Le port forwarding
Utiliser dans la NAT dynamique pour rendre une machine accessible depuis lextrieur On mets en dur dans la table NAT du routeur
port xe: port prive/ adresse prive Par exemple 21: 21/10.0.0.1 (port dun serveur FTP) Les paquets arrivant de lextrieur vers 195.0.0.254, 21 seront redirigs vers 10.0.0.1, 21 Problme si deux serveurs FTP sur 2 machines diffrentes ?
Lapplication FTP
Rappel en mode actif: En cas dune connexion sur un serveur extrieur La connexion pour les donnes est initie depuis le serveur Il ne peut tre utilis quen mode passif dans lequel toutes les connexions sont inities depuis le client Les donnes de FTP contiennent des informations se rapportant aux adresses IP
P. Sicard-Cours Rseaux Translation dadresse NAT 12
P. Sicard-Cours Rseaux
Dynamique:
Economie dadresse Scurit
P. Sicard-Cours Rseaux
Les proxys
Relai entre deux entits Analyse le contenu des donnes de lapplication Ddi une application
proxy http proxy ftp ...
Les proxys
Souvent multi-proxy: application qui gre lensemble des applications usuelles Permet de faire du cache Permet deffectuer certains ltres
Suivant les comptes utilisateurs pour FTP par exemple Suivant les adresses sources... Contenu des pages WEB ... Dtection de virus
Il faut spcier au niveau de lapplication lexistence du proxy (effectu par lutilisateur) Mais il existe aussi des proxy-transparents (redirection au niveau routage et donc invisible lutilisateur) Voir dtail dans le cours sur les pare-feux
P. Sicard-Cours Rseaux
P. Sicard-Cours Rseaux
P. Sicard-Cours Rseaux
P. Sicard-Cours Rseaux
INTRANET
CADRES ADMINISTRATIFS
Switch Switch
On ne veut pas utiliser de NAT statique Comment congurer le routeur de sortie (table NAT) pour que les serveurs WEB et Sftp sur SF1 soient accessibles depuis lextrieur ?
R2 R3
INTERNET
P. Sicard-Cours Rseaux
19
P. Sicard-Cours Rseaux
P. Sicard-Cours Rseaux