Application Note NAT et Redirection de ports
Transcription
Application Note NAT et Redirection de ports
Application Note NAT et Redirection de ports Table des matières 1 Le NAPT ou NAT dynamique .................................................................... 4 2 Le 1-to-1 NAT ou NAT statique ................................................................ 5 3 La redirection de ports ............................................................................ 9 Cette fiche applicative présente les différentes techniques d’accès à une machine à travers un routeur. 3 techniques vous seront détaillées : le NAPT (Network Address and Port Translation) le 1-to-1 NAT (Network Address Translation) la redirection de ports (Port Forwarding) Nous allons traiter l’architecture suivante : Les 3 techniques précédemment citées seront mises en œuvre pour couvrir les différents scénarii. Remarque : pour pouvoir réaliser les configurations qui suivent, le firewall devra être activé. 1 Le NAPT ou NAT dynamique Ce type de mode d’accès permet d’utiliser comme adresse IP source l’adresse du routeur. Chaque machine émet avec un port aléatoire qui sera utilisé par le routeur comme moyen d’identifier leur communication. Vis-à-vis d’une personne externe, les requêtes de ces machines sembleront partir du routeur. Remarque : cette technique est notamment utilisée pour les machines d’un LAN qui veulent accèder en même temps à Internet. Comme l’adresse IP privée est non routable sur Internet, les machines empruntent donc l’adresse IP publique du routeur pour leur communication web. Le schéma équivalent sera : Les étapes de la configuration sont : Créer une nouvelle règle et choisissez le type NAPT. VLAN1 et VLAN2 représentent les réseaux A et B respectivement. Les requêtes issues des machines du réseau A (VLAN1) seront « traduites en requêtes dont l’adresse IP source sera celle de l’interface du routeur en 172.16.16.254. Conclusion : l’adresse IP Source de la machine est substituée par l’adresse IP du routeur 2 Le 1-to-1 NAT ou NAT statique Cette technique sera mise en œuvre dans les cas d’adaptation suivants: Routage entre sites ayant le même plan d’adressage IP Les machines automates ne peuvent pas avoir de passerelle mais doivent être accessibles depuis l’extérieur Dissimuler le réseau de destination pour des raisons de sécurité Le schéma équivalent sera : La machine 172.16.16.99 du réseau B apparaît comme étant dans le réseau A avec l’adresse 192.168.2.99. La configuration est la suivante : La machine de destination est maintenant joignable avec l’adresse 192.168.2.99 et fait donc parti du réseau de la machine source. Dans ces conditions, la machine source va donc émettre une requête ARP pour pouvoir récupérer l’adresse MAC de la machine de destination. C’est le routeur qui doit donc être en mesure de répondre à cette requête ARP. C’est la raison pour laquelle le proxy ARP est activé dans le routeur. Remarque : Dans la table ARP du PC source, le routeur possèdera 2 adresses IP. Ci-dessous, l’adresse MAC du routeur 00:07:7c:84:54:45 correspond à 2 adresses IP : 192.168.2.254 et 192.168.2.99 (l’adresse virtuelle de la machine cible). Conclusion : l’adresse IP Destination de la machine est substituée par une adresse IP virtuelle du routeur Nous pouvons aussi utiliser une adresse virtuelle pour représenter la machine de destination qui ferait parti d’un tout autre réseau. Dans ce cas, nous n’aurons pas besoin du proxy ARP. Le schéma équivalent sera : La configuration devient : 3 La redirection de ports La redirection de ports permet d’accèder à un service d’une machine à travers un routeur. Une requête est donc envoyée à l’adresse IP du routeur avec un port arbitraire (port intermédiaire). Le routeur analyse ce port et regarde dans sa table de redirection de ports s’il y a une correspondance. Il redirige cette requête vers la machine concernée en modifiant le port et l’adresse IP de destination du paquet. Remarque : le port intermédiaire est totalement arbitraire. Vous pouvez choisir n’importe quel port. Il peut reprendre le même port que celui du service sollicité sur la machine cible. Conclusion : l’adresse IP et le port de destination du paquet sont changés après passage du routeur La configuration est la suivante : La redirection de port ci-dessus est réalisée sur le service de messagerie SMTP (port 25) de la machine 172.16.16.110.