Application Note NAT et Redirection de ports

Application Note
NAT et Redirection de ports
Table des matières
1 Le NAPT ou NAT dynamique .................................................................... 4
2 Le 1-to-1 NAT ou NAT statique ................................................................ 5
3 La redirection de ports ............................................................................ 9
Cette fiche applicative présente les différentes techniques d’accès à une
machine à travers un routeur.
3 techniques vous seront détaillées :
 le NAPT (Network Address and Port Translation)
 le 1-to-1 NAT (Network Address Translation)
 la redirection de ports (Port Forwarding)
Nous allons traiter l’architecture suivante :
Les 3 techniques précédemment citées seront mises en œuvre pour
couvrir les différents scénarii.
Remarque : pour pouvoir réaliser les configurations qui suivent, le firewall
devra être activé.
1 Le NAPT ou NAT dynamique
Ce type de mode d’accès permet d’utiliser comme adresse IP source
l’adresse du routeur. Chaque machine émet avec un port aléatoire qui
sera utilisé par le routeur comme moyen d’identifier leur communication.
Vis-à-vis d’une personne externe, les requêtes de ces machines
sembleront partir du routeur.
Remarque : cette technique est notamment utilisée pour les machines
d’un LAN qui veulent accèder en même temps à Internet. Comme
l’adresse IP privée est non routable sur Internet, les machines empruntent
donc l’adresse IP publique du routeur pour leur communication web.
Le schéma équivalent sera :
Les étapes de la configuration sont :
Créer une nouvelle règle et choisissez le type NAPT.
VLAN1 et VLAN2 représentent les réseaux A et B respectivement.
Les requêtes issues des machines du réseau A (VLAN1) seront « traduites
en requêtes dont l’adresse IP source sera celle de l’interface du routeur en
172.16.16.254.
Conclusion : l’adresse IP Source de la machine est substituée par
l’adresse IP du routeur
2 Le 1-to-1 NAT ou NAT statique
Cette technique sera mise en œuvre dans les cas d’adaptation suivants:
 Routage entre sites ayant le même plan d’adressage IP
 Les machines automates ne peuvent pas avoir de passerelle mais
doivent être accessibles depuis l’extérieur
 Dissimuler le réseau de destination pour des raisons de sécurité
Le schéma équivalent sera :
La machine 172.16.16.99 du réseau B apparaît comme étant dans le
réseau A avec l’adresse 192.168.2.99.
La configuration est la suivante :
La machine de destination est maintenant joignable avec l’adresse
192.168.2.99 et fait donc parti du réseau de la machine source.
Dans ces conditions, la machine source va donc émettre une requête ARP
pour pouvoir récupérer l’adresse MAC de la machine de destination.
C’est le routeur qui doit donc être en mesure de répondre à cette requête
ARP. C’est la raison pour laquelle le proxy ARP est activé dans le routeur.
Remarque : Dans la table ARP du PC source, le routeur possèdera 2
adresses IP. Ci-dessous, l’adresse MAC du routeur 00:07:7c:84:54:45
correspond à 2 adresses IP : 192.168.2.254 et 192.168.2.99 (l’adresse
virtuelle de la machine cible).
Conclusion : l’adresse IP Destination de la machine est substituée
par une adresse IP virtuelle du routeur
Nous pouvons aussi utiliser une adresse virtuelle pour représenter la
machine de destination qui ferait parti d’un tout autre réseau.
Dans ce cas, nous n’aurons pas besoin du proxy ARP.
Le schéma équivalent sera :
La configuration devient :
3 La redirection de ports
La redirection de ports permet d’accèder à un service d’une machine à
travers un routeur.
Une requête est donc envoyée à l’adresse IP du routeur avec un port
arbitraire (port intermédiaire). Le routeur analyse ce port et regarde dans
sa table de redirection de ports s’il y a une correspondance.
Il redirige cette requête vers la machine concernée en modifiant le port et
l’adresse IP de destination du paquet.
Remarque : le port intermédiaire est totalement arbitraire. Vous pouvez
choisir n’importe quel port. Il peut reprendre le même port que celui du
service sollicité sur la machine cible.
Conclusion : l’adresse IP et le port de destination du paquet sont
changés après passage du routeur
La configuration est la suivante :
La redirection de port ci-dessus est réalisée sur le service de messagerie
SMTP (port 25) de la machine 172.16.16.110.