La Translation d'adresses - mathinfo.univ-reims.frmathinfo.univ-reims.fr/IMG/pdf/Cours6-NAT.pdf ·...
-
Upload
nguyenhanh -
Category
Documents
-
view
220 -
download
0
Transcript of La Translation d'adresses - mathinfo.univ-reims.frmathinfo.univ-reims.fr/IMG/pdf/Cours6-NAT.pdf ·...
![Page 1: La Translation d'adresses - mathinfo.univ-reims.frmathinfo.univ-reims.fr/IMG/pdf/Cours6-NAT.pdf · NAT statique association de n adresses avec n adresses. une adresse IP interne ...](https://reader031.fdocuments.in/reader031/viewer/2022022104/5bc79c2609d3f267298be544/html5/thumbnails/1.jpg)
1F. Nolot
La Translation d'adresses
![Page 2: La Translation d'adresses - mathinfo.univ-reims.frmathinfo.univ-reims.fr/IMG/pdf/Cours6-NAT.pdf · NAT statique association de n adresses avec n adresses. une adresse IP interne ...](https://reader031.fdocuments.in/reader031/viewer/2022022104/5bc79c2609d3f267298be544/html5/thumbnails/2.jpg)
F. Nolot 2
Université de Reims Champagne-ArdenneRéseaux 2
Introduction
Adressage internet sur 32 bits : a peu près 4 milliards d'adressesDécoupage en classes réduit ce nombreLe nombre de machines sur Internet pourrait atteindre vite ce nombre
![Page 3: La Translation d'adresses - mathinfo.univ-reims.frmathinfo.univ-reims.fr/IMG/pdf/Cours6-NAT.pdf · NAT statique association de n adresses avec n adresses. une adresse IP interne ...](https://reader031.fdocuments.in/reader031/viewer/2022022104/5bc79c2609d3f267298be544/html5/thumbnails/3.jpg)
F. Nolot 3
Université de Reims Champagne-ArdenneRéseaux 2
Introduction
Ipv6 est la solution à ce problème : 16 octets d'adressesle nombre de machines à adresser un très très grandEn attendant, NAT résoud ce problème
![Page 4: La Translation d'adresses - mathinfo.univ-reims.frmathinfo.univ-reims.fr/IMG/pdf/Cours6-NAT.pdf · NAT statique association de n adresses avec n adresses. une adresse IP interne ...](https://reader031.fdocuments.in/reader031/viewer/2022022104/5bc79c2609d3f267298be544/html5/thumbnails/4.jpg)
F. Nolot 4
Université de Reims Champagne-ArdenneRéseaux 2
Qu'estce que la NAT ?
NAT : Network Address Translation Différents concepts : NAT statique, NAT dynamique, PAT, IP masquerading...Modification des adresses IP dans l'entête d'un datagramme IP effectuée par un routeur. SNAT : adresse source qui est modifiée,DNAT : adresse destination qui est modifiée
![Page 5: La Translation d'adresses - mathinfo.univ-reims.frmathinfo.univ-reims.fr/IMG/pdf/Cours6-NAT.pdf · NAT statique association de n adresses avec n adresses. une adresse IP interne ...](https://reader031.fdocuments.in/reader031/viewer/2022022104/5bc79c2609d3f267298be544/html5/thumbnails/5.jpg)
F. Nolot 5
Université de Reims Champagne-ArdenneRéseaux 2
NAT statique
Le principeNAT statique association de n adresses avec n adresses. une adresse IP interne = uneadresse IP externe.Action effectuée par le routeur : remplacer l'adresse source ou destination par l'adresse correspondanteUne adresse privée ne peut être utilisée dans un datagramme IP circulant sur InternetAvoir autant d'adresses privées que d'adresse publics
![Page 6: La Translation d'adresses - mathinfo.univ-reims.frmathinfo.univ-reims.fr/IMG/pdf/Cours6-NAT.pdf · NAT statique association de n adresses avec n adresses. une adresse IP interne ...](https://reader031.fdocuments.in/reader031/viewer/2022022104/5bc79c2609d3f267298be544/html5/thumbnails/6.jpg)
F. Nolot 6
Université de Reims Champagne-ArdenneRéseaux 2
NAT statique
AvantagesOn peut changer de FAI sans toucher au plan d'adressageOn ne gache aucune adresse public à cause de la structure du plan d'adresses : Adresses sous réseaux, Broadcast,...
InconvénientsSi le nombre d'adresses Privées dépasse le nombre d'adresses publiques, le problème n'est pas résolu.
![Page 7: La Translation d'adresses - mathinfo.univ-reims.frmathinfo.univ-reims.fr/IMG/pdf/Cours6-NAT.pdf · NAT statique association de n adresses avec n adresses. une adresse IP interne ...](https://reader031.fdocuments.in/reader031/viewer/2022022104/5bc79c2609d3f267298be544/html5/thumbnails/7.jpg)
F. Nolot 7
Université de Reims Champagne-ArdenneRéseaux 2
NAT statique
Redirection vers adresse virtuelle :Soit M1 avec 10.0.0.1/24|Soit la passerelle P du LAN avec 10.0.0.254/24 et 193.22.35.42/24Soit le routeur Internet IR avec 193.22.35.254/24 sur une Interface externe IEQuand M1 reçoit un datagramme D d'une machine externe en réponse à une requête (sortie avec 193.22.35.43), au niveau de IR, une requête ARP sera envoyé par IE pour connaître l'interface d'envoie.
![Page 8: La Translation d'adresses - mathinfo.univ-reims.frmathinfo.univ-reims.fr/IMG/pdf/Cours6-NAT.pdf · NAT statique association de n adresses avec n adresses. une adresse IP interne ...](https://reader031.fdocuments.in/reader031/viewer/2022022104/5bc79c2609d3f267298be544/html5/thumbnails/8.jpg)
F. Nolot 8
Université de Reims Champagne-ArdenneRéseaux 2
NAT statique
Mais cette adresse n'est pas connue!!Le routeur fait office de PROXY ARP : répond à cette requête.Solutions :
Soit mise en place d'un Proxy ARPsur la machine NATSoit ajout d'une entrée ARP statique dans sur IR (arp -s 193.22.35.43 @MAC_routeur)Soit ajout d'une route host statique pour chacune des adresses virtuelles (route add -p 193.22.35.43 mask 255.255.255.255 193.22.35.42)
![Page 9: La Translation d'adresses - mathinfo.univ-reims.frmathinfo.univ-reims.fr/IMG/pdf/Cours6-NAT.pdf · NAT statique association de n adresses avec n adresses. une adresse IP interne ...](https://reader031.fdocuments.in/reader031/viewer/2022022104/5bc79c2609d3f267298be544/html5/thumbnails/9.jpg)
F. Nolot 9
Université de Reims Champagne-ArdenneRéseaux 2
NAT statique
Problèmes de routage Quand P reçoit le datagramme, il le considère pour luiMais quand la couche IP reçoit la paquet, on voit que l'adresse destination est .43Consultation de la table de routage
Soit existence d'une route spécifique pour le réseau interne, Sinon envoie vers l'adresse externe .42Soit ajout d'une route explicite (route add -p 193.22.35.43 mask 255.255.255.255 10.0.0.1)
![Page 10: La Translation d'adresses - mathinfo.univ-reims.frmathinfo.univ-reims.fr/IMG/pdf/Cours6-NAT.pdf · NAT statique association de n adresses avec n adresses. une adresse IP interne ...](https://reader031.fdocuments.in/reader031/viewer/2022022104/5bc79c2609d3f267298be544/html5/thumbnails/10.jpg)
F. Nolot 10
Université de Reims Champagne-ArdenneRéseaux 2
NAT dynamique
PrincipeAp p elé aussi IP m asquerad ingAssociat ion d e m ad resses p rivées à n ad resses p ubliques (avec m > n ) Le rou teur NAT m od ifie les ad resses IP d e sort ie ain s i que les p orts TCP/ UDP.En réalité on fait d u PAT égalem en t !
![Page 11: La Translation d'adresses - mathinfo.univ-reims.frmathinfo.univ-reims.fr/IMG/pdf/Cours6-NAT.pdf · NAT statique association de n adresses avec n adresses. une adresse IP interne ...](https://reader031.fdocuments.in/reader031/viewer/2022022104/5bc79c2609d3f267298be544/html5/thumbnails/11.jpg)
F. Nolot 11
Université de Reims Champagne-ArdenneRéseaux 2
NAT dynamique
Fonctionnement :M1 (10.0.0.1/24)P 10.0.0.254/24 et 193.22.35.42/24Un paquet partant de M1 sort avec 193.22.35.42Le paquet de retour sera detiné à 193.22.35.42 aussi !!Au départ M1 a utilisé le port 2453 comme port source, alors au retour P routera vers M1 quand il verra que le port destination est 2435Le problème se pose si 2 hosts internes utilisent le port source.
![Page 12: La Translation d'adresses - mathinfo.univ-reims.frmathinfo.univ-reims.fr/IMG/pdf/Cours6-NAT.pdf · NAT statique association de n adresses avec n adresses. une adresse IP interne ...](https://reader031.fdocuments.in/reader031/viewer/2022022104/5bc79c2609d3f267298be544/html5/thumbnails/12.jpg)
F. Nolot 12
Université de Reims Champagne-ArdenneRéseaux 2
NAT dynamique
Solution :À chaque paquet sortant, on translate également le port de sortie pour garder l'unicité des ports en communicationCette technique permettera de rediriger les paquets de retour sur les bonnes machinesSolution : masquer autant de machines que l'on souhaite derrière une adresse routable!
![Page 13: La Translation d'adresses - mathinfo.univ-reims.frmathinfo.univ-reims.fr/IMG/pdf/Cours6-NAT.pdf · NAT statique association de n adresses avec n adresses. une adresse IP interne ...](https://reader031.fdocuments.in/reader031/viewer/2022022104/5bc79c2609d3f267298be544/html5/thumbnails/13.jpg)
F. Nolot 13
Université de Reims Champagne-ArdenneRéseaux 2
NAT dynamique
AvantagesPouvoir répondre au soucis de manque d'adressesApporte plus de sécurité : tout passe par le NAT
InconvénientsNe peut marcher si la connexion est initialisée de l'extérieurUn serveur ne peut être accessible de l'extérieur.
![Page 14: La Translation d'adresses - mathinfo.univ-reims.frmathinfo.univ-reims.fr/IMG/pdf/Cours6-NAT.pdf · NAT statique association de n adresses avec n adresses. une adresse IP interne ...](https://reader031.fdocuments.in/reader031/viewer/2022022104/5bc79c2609d3f267298be544/html5/thumbnails/14.jpg)
F. Nolot 14
Université de Reims Champagne-ArdenneRéseaux 2
NAT dynamique
Problèmes avec ICMPICMP, PPPT, Netbios ne travaille pas au niveau 3Pour ICMP :
Utilisation de l'identifiant ICMP pour informer la machine concernée : l'identifiant sera utilisé comme les portsUtilisation des informations de paquets IP contenus dans le paquet ICMP pour informer la machine concernée
![Page 15: La Translation d'adresses - mathinfo.univ-reims.frmathinfo.univ-reims.fr/IMG/pdf/Cours6-NAT.pdf · NAT statique association de n adresses avec n adresses. une adresse IP interne ...](https://reader031.fdocuments.in/reader031/viewer/2022022104/5bc79c2609d3f267298be544/html5/thumbnails/15.jpg)
F. Nolot 15
Université de Reims Champagne-ArdenneRéseaux 2
Le FTP ?
Problèmes avec FTPFTP fonctionne en 2 modes actif ou pasif avec 2 canaux en parallèles (ports 20 et 21)En mode passif les 2 connexions sont initialisées de l'intérieurMais en mode actif, la connexion de contrôle est initialisée de l'intérieur mais le contrôle de données est réalisée poar le serveurSolution : utilisation d'un PROXY ftp : il suit et contrôle les connexions
![Page 16: La Translation d'adresses - mathinfo.univ-reims.frmathinfo.univ-reims.fr/IMG/pdf/Cours6-NAT.pdf · NAT statique association de n adresses avec n adresses. une adresse IP interne ...](https://reader031.fdocuments.in/reader031/viewer/2022022104/5bc79c2609d3f267298be544/html5/thumbnails/16.jpg)
F. Nolot 16
Université de Reims Champagne-ArdenneRéseaux 2
Statique ou dynamique ?
Statique : adresse accessible de l'extérieurDynamique : cacher des machines clientes Combiner les deux ?
C'est la meilleure solutionLes serveurs mail, ftp, ww en statiqueLes autres machines en dynamique
![Page 17: La Translation d'adresses - mathinfo.univ-reims.frmathinfo.univ-reims.fr/IMG/pdf/Cours6-NAT.pdf · NAT statique association de n adresses avec n adresses. une adresse IP interne ...](https://reader031.fdocuments.in/reader031/viewer/2022022104/5bc79c2609d3f267298be544/html5/thumbnails/17.jpg)
F. Nolot 17
Université de Reims Champagne-ArdenneRéseaux 2
Port forwarding
Problème posé :Être joignable de l'extérieur avec un NAT dynamiquePar exemple pour permettre à un serveur ftp d'être visible sur un lien ADSL avec une seule adresse disponible.On utilise le port forwarding : rediriger un paquet vers une machine précise en fonction du port de destination du paquetlorsque on a une seule adresse publique, possibilité d'initialiser une connexion de l'extérieur vers l'une de ses machines (une seule par port TCP/UDP)
![Page 18: La Translation d'adresses - mathinfo.univ-reims.frmathinfo.univ-reims.fr/IMG/pdf/Cours6-NAT.pdf · NAT statique association de n adresses avec n adresses. une adresse IP interne ...](https://reader031.fdocuments.in/reader031/viewer/2022022104/5bc79c2609d3f267298be544/html5/thumbnails/18.jpg)
F. Nolot 18
Université de Reims Champagne-ArdenneRéseaux 2
Port forwarding
Dans l'exemple précédent on initialise le routeur pour diriger toutes les connexions sur le port 21 vers 10.0.0.1. C'est comme si cette adresse est disponible de l'extérieur : elle devient adresse public!!
![Page 19: La Translation d'adresses - mathinfo.univ-reims.frmathinfo.univ-reims.fr/IMG/pdf/Cours6-NAT.pdf · NAT statique association de n adresses avec n adresses. une adresse IP interne ...](https://reader031.fdocuments.in/reader031/viewer/2022022104/5bc79c2609d3f267298be544/html5/thumbnails/19.jpg)
F. Nolot 19
Université de Reims Champagne-ArdenneRéseaux 2
Port mapping
Le port mapping est un peu équivalent au port forwarding rediriger la requête sur un port différent que celui demandéPar exmple : serveur web sur le réseau local sur le port 8080 et le rendre accessible par l'extérieur.Rediriger le port 80 vers notre serveur sur le port 8080Les clients externes auront l'impression de s'adresser à un serveur sur le port usuel pour le web, 80
![Page 20: La Translation d'adresses - mathinfo.univ-reims.frmathinfo.univ-reims.fr/IMG/pdf/Cours6-NAT.pdf · NAT statique association de n adresses avec n adresses. une adresse IP interne ...](https://reader031.fdocuments.in/reader031/viewer/2022022104/5bc79c2609d3f267298be544/html5/thumbnails/20.jpg)
F. Nolot 20
Université de Reims Champagne-ArdenneRéseaux 2
Limites du port forwarding
Problème :Si l'on possède plusieurs serveurs FTP en local et que l'on veut les rendre accessiblesSolution : utilisation de proxiesProxy : est un mandataire pour une application donnéesert d'intermédiaire dans une connexion entre le client et le serveur pour relayer la requête qui est faitepeut modifier les informations à envoyer au serveur, ainsi que celles renvoyées par celuici.Un proxy par application
![Page 21: La Translation d'adresses - mathinfo.univ-reims.frmathinfo.univ-reims.fr/IMG/pdf/Cours6-NAT.pdf · NAT statique association de n adresses avec n adresses. une adresse IP interne ...](https://reader031.fdocuments.in/reader031/viewer/2022022104/5bc79c2609d3f267298be544/html5/thumbnails/21.jpg)
F. Nolot 21
Université de Reims Champagne-ArdenneRéseaux 2
Qu'estce qu'un proxy n'est pas ?
Amalgame est souvent fait entre les fonctionnalitésOn pense souvent qu'un proxy doit faire de la NAT, ou serveur de cache ==> des fonctionnalités ajoutéesil est souvent utile d'ajouter des fonctions de cache à un proxy vu que c'est lui qui centralise l'accès au webSi 15 personnes demandent le même site web, il ne sera chargé qu'une fois puis gardé dans le cache du proxyPar ailleurs, la NAT est elle aussi souvent indispensable pour qu'un proxy fonctionne
![Page 22: La Translation d'adresses - mathinfo.univ-reims.frmathinfo.univ-reims.fr/IMG/pdf/Cours6-NAT.pdf · NAT statique association de n adresses avec n adresses. une adresse IP interne ...](https://reader031.fdocuments.in/reader031/viewer/2022022104/5bc79c2609d3f267298be544/html5/thumbnails/22.jpg)
F. Nolot 22
Université de Reims Champagne-ArdenneRéseaux 2
Vautil mieux faire de la NAT ou avoir un proxy ?
Avantages du proxy :Contrôle débits et portsSécurité
Avantages de la NAT :Indépendant des applications
![Page 23: La Translation d'adresses - mathinfo.univ-reims.frmathinfo.univ-reims.fr/IMG/pdf/Cours6-NAT.pdf · NAT statique association de n adresses avec n adresses. une adresse IP interne ...](https://reader031.fdocuments.in/reader031/viewer/2022022104/5bc79c2609d3f267298be544/html5/thumbnails/23.jpg)
F. Nolot 23
Université de Reims Champagne-ArdenneRéseaux 2
La sécurité et la NAT
La NAT dynamique permetelle d'améliorer ma sécurité ?Estce utile pour la sécurité d'utiliser un proxy ?La NAT est elle compatible avec IPSEC ?
IPSEC ayant différentes implémentationsencryption de l'entête IP par les participants au tunnel IPSECSolution : tout le paquet est encrypté et une autre entête est ajoutée et le contrôle se fait sur le paquet encryptéSolution générale : NATT
encapsuler les données dans un tunnel UDPEntête modifiée ne sera pas utilisé pour l'authentification
![Page 24: La Translation d'adresses - mathinfo.univ-reims.frmathinfo.univ-reims.fr/IMG/pdf/Cours6-NAT.pdf · NAT statique association de n adresses avec n adresses. une adresse IP interne ...](https://reader031.fdocuments.in/reader031/viewer/2022022104/5bc79c2609d3f267298be544/html5/thumbnails/24.jpg)
F. Nolot 24
Université de Reims Champagne-ArdenneRéseaux 2
Mise en oeuvre
Linux :Noyau 2.4 et 2.6 : IptablesNoyaux plus anciens : IPchains, ipfilter, netfilter.
Windows :Wingate, winroute lite, NAT32, TCPrelay
![Page 25: La Translation d'adresses - mathinfo.univ-reims.frmathinfo.univ-reims.fr/IMG/pdf/Cours6-NAT.pdf · NAT statique association de n adresses avec n adresses. une adresse IP interne ...](https://reader031.fdocuments.in/reader031/viewer/2022022104/5bc79c2609d3f267298be544/html5/thumbnails/25.jpg)
F. Nolot 25
Université de Reims Champagne-ArdenneRéseaux 2
Références
RFC 1631<http://fr.comp.securite.free.fr/firewall.txt> Stéphane Catteaunewgroups fr.comp.reseaux.ip et fr.comp.reseaux.ethernet.Eric LALITTE sur http://www.lalitte.com/nat