EXEMPLE de CONFIGURATION du NAT sur ROUTEUR CISCO
Transcription
EXEMPLE de CONFIGURATION du NAT sur ROUTEUR CISCO
EXEMPLE de CONFIGURATION du NAT sur ROUTEUR CISCO Configuration du NAT On peut : Créer un NAT statique entre deux adresses : Exemple : Routeur(config)# ip nat inside source static 192.168.0.1 200.100.40.1 Il faut indiquer pour qui s’appliquera la règle NAT, en définissant l’interface du routeur « inside » et « outside » NB : Rappelons que la traduction peut se faire sur n’importe quelle adresse. Même si elle est généralement utilisée pour permettre à des adresses privées de communiquer avec Internet, la translation peut être aussi utilisée pour masquer les véritables adresses du réseau local, même si elles sont publiques. Pour définir les interfaces inside et outside : Exemple : Routeur(config)# interface fastethernet 0/1 Routeur(config-if)# ip nat inside Routeur(config-if)# interface serial s0/0/0 Routeur(config-if)# ip nat outside Définir un pool d’adresses (correspondance entre une plage d’adresses privées et une plage d’adresses publiques dans laquelle les adresses privées seront traduites) Exemple : Routeur(config)# ip nat pool p1 200.100.40.10 20.100.40.50 netmask 255.255.255.0 Une fois le pool d’adresses défini, il faut indiquer quelles adresses sont autorisées à utiliser la traduction d’adresses, à l’aide d’une access-list. Exemple : Routeur(config)# access-list 1 permit 192.168.1.0 0.0.0.255 // Créer une access-list autorisant le réseau 192.168.1.0 / 24 // Attention, masque inversé : les bits à 1 sont les bits que l’on ne vérifie pas Routeur (config)# ip nat inside source list 1 pool p1 // Association entre l’access-list et la règle nat // On indique quelle source en interne est autorisé à utiliser le pool d’adresses En général, c’est la 3ème option qui est utilisée, à savoir le NAT/PAT, pour permettre à des adresses privées d’utiliser une adresse publique unique vers Internet, moyennant un port associé à cette adresse. Définir une règle de NAPT ou masquage d’adresse Exemple : Routeur(config)# ip nat inside source list 10 interface fastethernet 0/1 overload // Masquage par l’adresse de l’interface 0/1 c'est du "masquerading" // On note l’utilisation du mot-clé list au lieu de static utilisé dans le 1er cas ci-dessus. Routeur(config)# access-list 10 permit 192.168.1.0 0.0.0.255 // Définition de l’access-list indiquant le réseau interne qui utilisera le nat // lors de communications passant par l’interface fa0/1 du routeur Pour le NAPT, il faut également définir la ou les interfaces inside et outside, comme montré dans le 1er cas de figure. Par exemple si on a un LAN sur l’interface fa0/0 en 192.168.1.0 et une DMZ sur l’interface fa0/1 en 192.168.2.0, et une interface publique se0/0/0 en 200.20.2.0, il faudra taper les commandes suivantes : Exemple : Routeur(config)# interface fastethernet 0/0 Routeur(config-if)# ip nat inside Routeur(config-if)# interface fastethernet 0/1 Routeur(config-if)# ip nat inside Routeur(config-if)# interface serial s0/0/0 Routeur(config-if)# ip nat outside Pour consulter les traductions mises en place : Routeur# show ip nat translations Configuration d’une redirection Lorsque l’on souhaite atteindre un serveur, par exemple dans une DMZ, alors qu’il possède une adresse privée, il est nécessaire de mettre en place une redirection (règle de mapping) : Exemple : Routeur(config)# ip nat inside source static tcp 192.168.0.1 80 200.100.40.10 80 Adresse interne vers laquelle sera redirigée la requête « entrante ». Port utilisé sur la machine interne pour le service requis. Adresse externe (publique en général) sur laquelle arriveront les requêtes à rediriger. Port externe (public) qui sera utilisé depuis l’extérieur pour requérir le service redirigé. NB : Le port n’est pas forcément identique en externe et en interne. Si par exemple on souhaite rediriger des requêtes vers plusieurs serveurs internes HTTP, on pourra utiliser plusieurs ports externes, tous redirigés en interne sur le port 80, mais sur des machines différentes. Exemple : Routeur(config)# ip nat inside source static tcp 192.168.0.1 80 200.100.40.10 8180 Routeur(config)# ip nat inside source static tcp 192.168.0.2 80 200.100.40.10 8280 Routeur(config)# ip nat inside source static tcp 192.168.0.3 80 200.100.40.10 8380 Visualisation de la table NAT sur Packet Tracer Sur PACKET TRACER, on peut afficher simplement le contenu du cache NAT d’un routeur, en utilisant la loupe. On peut voir alors évoluer la table à chaque utilisation de la translation d’adresse. Une temporisation permet de voir pendant quelque temps les correspondances pendant quelques secondes. 3. La table NAT s’affiche ici 4. Le lancement de commandes ping alimente automatiquement la table NAT 1. Cliquer sur la loupe ici. 2. Cliquer sur le routeur et sélectionner « NAT Table ». Exemple de table NAT Inside Global = IP de l’interface publique utilisée pour sortir sur Internet On note ici une suite de requêtes ping Inside Local = IP locale (ici privée) effectuant la demande Les lignes n’ayant pas de valeur pour Outside sont en fait des lignes de redirection (ou mapping) permanentes. Outside = IP distante en communication On note ici des requêtes DNS