Masquage et traduction d'adresses!!

Le MNF (Multi Network Firewall) est un des produits pare-feu les plus richement pourvus en fonctionnalités du marché. Il est basé sur un kernel Linux 2.4 sécurisé. Ce forum est également destiné à accueillir tous les posts concernants les distributions Mandriva (anciennement Mandrake)

Modérateur: modos Ixus

Messagepar nabilinux » 16 Mai 2003 16:36

salut! cette question est vraiment théorique mais j'arrive pas à avoir une vision claire!! c'est koi la différence entre la masquage d'adresse et la traduction d'adresse? vous ne voyez pas que c la meme chose?
Avatar de l’utilisateur
nabilinux
Premier-Maître
Premier-Maître
 
Messages: 50
Inscrit le: 04 Mars 2003 01:00

Messagepar grosbedos » 16 Mai 2003 16:51

ben disons que le masquage d'IP fait de la traduction d'adresse..c'est ca la difference..
Pour retrouver une aiguille dans une botte de foin, il suffit d'y mettre le feu puis de fouiller les cendres avec un aimant. Bernard Werber
Avatar de l’utilisateur
grosbedos
Amiral
Amiral
 
Messages: 1493
Inscrit le: 27 Sep 2002 00:00

Messagepar nabilinux » 16 Mai 2003 17:01

et alors pourkoi on nous demande ds la mnf de configurer le masquage d'adresse puis la traduction! là je comprend rien <IMG SRC="images/smiles/icon_confused.gif"> <BR> <BR>en effet ds le masquage g masqué tt le réseau privé 192.168.1.0/24 derière l'unique adresse ip que g attribué à l'interface externe eth1 (SNAT) <BR> <BR>et puis on me demande de faire la traduction d'adresse!!! c koi la diff?
Avatar de l’utilisateur
nabilinux
Premier-Maître
Premier-Maître
 
Messages: 50
Inscrit le: 04 Mars 2003 01:00

Messagepar grosbedos » 16 Mai 2003 17:14

a mon avis ce qu'il te demande c'est l'adresse de traduction qu'il doit utiliser! <BR> <BR>quand tu fait du masquage tu as ton lan qui a une IP 192.168... qui doit etre traduit en une adresse 80.8.... <BR> <BR>voila pour ce qui est de mnf je n'ai jamais testé!
Pour retrouver une aiguille dans une botte de foin, il suffit d'y mettre le feu puis de fouiller les cendres avec un aimant. Bernard Werber
Avatar de l’utilisateur
grosbedos
Amiral
Amiral
 
Messages: 1493
Inscrit le: 27 Sep 2002 00:00

Messagepar grosbedos » 16 Mai 2003 17:18

SNAT??? <BR> <BR>non c'est du MASQUERADE
Pour retrouver une aiguille dans une botte de foin, il suffit d'y mettre le feu puis de fouiller les cendres avec un aimant. Bernard Werber
Avatar de l’utilisateur
grosbedos
Amiral
Amiral
 
Messages: 1493
Inscrit le: 27 Sep 2002 00:00

Messagepar nabilinux » 16 Mai 2003 17:21

j'arive pas à comprendre!! <BR> <BR>en effet je sais que la NAT permet de faire la SNAT et la DNAT ainsi que le proxy transparent à l'aide de SQUID! mais tout ça c'est téorique, ds la pratique c tjr la meme chose: <BR> <BR>PRENDRE CETTE ADRESSE ET LA CHANGER PAS UNE AUTRE <BR> <BR>c'est pas ça?
Avatar de l’utilisateur
nabilinux
Premier-Maître
Premier-Maître
 
Messages: 50
Inscrit le: 04 Mars 2003 01:00

Messagepar grosbedos » 16 Mai 2003 17:32

ben si.. <BR>je ne connais presque la theorie aussi! <BR> <BR>on peut faire du SNAT du DNAT et du MASQUERADE <BR> <BR>toi le prob c que tu prends SNAT je pense..le MASQUERADE c'est pareil presque sauf que ca s'aplique a tout ce qui sort d'une interface.. <BR> <BR>la difference entre snat et dnat c'est que l'un est effectuer quand le paquets passe la chaine POSTROUTING, et l'autre PREROUTING..
Pour retrouver une aiguille dans une botte de foin, il suffit d'y mettre le feu puis de fouiller les cendres avec un aimant. Bernard Werber
Avatar de l’utilisateur
grosbedos
Amiral
Amiral
 
Messages: 1493
Inscrit le: 27 Sep 2002 00:00

Messagepar nabilinux » 16 Mai 2003 17:46

donc si je fais du SNAT c'est pour les paquets sortant! et je dois donc définir des régles pour le DNAT aussi! <BR> <BR>dans ce cas on va dire que tout le réseau est masqué sous la seule ip disponible... Mais qd je reçois un paquet de l'extérieur il ne sais pas où aller car g pas fait du DNAT <IMG SRC="images/smiles/icon_lol.gif">
Avatar de l’utilisateur
nabilinux
Premier-Maître
Premier-Maître
 
Messages: 50
Inscrit le: 04 Mars 2003 01:00

Messagepar tomtom » 19 Mai 2003 12:16

Holla ! <BR> <BR>La différence est très simple : <BR> <BR>Le nat (source comme destination) ca consiste à momdifier l'adresse source ou destination par une autre. <BR> <BR>Si on veut faire du nat sur 10 adresses privées, il faut 10 adresses publiques ! <BR> <BR>Le masquerading, c'est une extention du nat quand on n'a qu'une seule adresse publique. Ca utilise un nat qui remplace toutes les adresses privées par l'adresse publique ainsi qu'un "pat" (port translation) qui remplace les ports source et/ou destination pour que plusieurs adresses privées puisse utiliser la même adresse publique et que le firewall retrouve tous ses petits au retour.... <BR> <BR>On fait souvent une assimilation, et tout le monde parle de nat alors que l'on fait presque tous du masquerading... <BR> <BR>Voila tout .... <BR> <BR>Tom
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar Vnex » 19 Mai 2003 16:16

Et la différence entre NAT statique et proxy ARP? <BR> <BR>Ils disent dans l'aide que proxy ARP est plus pratique car il permet d'utiliser la même adresse IP en externe qu'en interne mais j'ai du mal à comprendre la différence. Un proxy ARP ca va travailler sur l'association @mac @ip non? <BR> <BR>Donc si on veut accéder à une machine A apparetenant à la DMZ avec l'ip 192.168.10.3 et que l'on désire la masquer pour qu'elle soit accesible depuis le net avec l'ip publique 80.10.12.2 et que la configuration du firewall est du type: <BR>eth0 wan 80.10.12.1 <BR>eth1 lan 192.168.1.2 <BR>eth2 dmz 192.168.10.1 <BR>il faudrat donc effectuer les requetes vers A depuis le LAN avec l'adresse 80.10.12.2 en ayant comme passerelle l'@ 80.10.12.1, non? Et si on veut pouvoir y acceder depuis le WAN comment faudrat t'il faire? <BR> <BR>Si maintenant on utilise de la translation NAT statique, en quoi est ce que la configuration devrat etre differente? <BR> <BR>J'ai du mal à saisir pas mal de truc la dedans et je suis bien paumé! <BR> <BR> <BR>
Avatar de l’utilisateur
Vnex
Matelot
Matelot
 
Messages: 6
Inscrit le: 15 Mai 2003 00:00
Localisation: Toulouse

Messagepar tomtom » 19 Mai 2003 16:38

Nat statique ou proxy arp, dans les deux cas on parle ici du cas ou tu souhaite utiliser des ip publiques dans ta DMZ (par exemple, si ton FAI te fournit 10 IP, tu peux en attribuer une pour chaque serveur !) <BR> <BR>Le NAT statique, ca fera la même chose que le nat dont je parlais precedemment, cad que tu vas donner des adresses privées sur la dmz, et que a une adresse publique tu associes une et une seule adresse provée en DMZ? <BR> <BR>ex : <BR>192.168.0.10 <-> 15.10.10.10 <BR>192.168.0.11 <-> 15.10.10.11 <BR> <BR> <BR>etc... <BR> <BR>En fait, il s'agit du nat classique. <BR> <BR>Pour le proxy arp, la methode est differente : <BR> <BR>Tu utilises tes ip publiques directement dans ton plan d'adressage (ce n'est pas conseillé à mon avis sur un plan sécurité, mais bon il y a encore des boites qui le font). <BR>La passerelle se fait passer sur internet pour l'ensemble des serveurs derrière elle, en repondant à leur place aux requetes ARP. <BR> <BR>ex : <BR>serveur 1 : ip 15.10.10.10, mac=11:11:11:11:11 <BR>serveur 2 : ip 15.10.10.11, mac=22:22:22:22:22 <BR> <BR>passerelle : <BR>cote wan : ip=15.10.10.15, mac=33:33:33:33:33 <BR>cote dmz : ip=15.10.10.16 mac=44:44:44:44:44 <BR> <BR> <BR>supposons que quelqun accede au serveur 1, sur le port 80, les paquets vont etre routés sur internet jusqu'à la passerelle du provider. <BR>Celle-ci va vouloir transmettre le paquet, et deux solutions : <BR> <BR>1- elle sait qu'il y a une passerelle d'acces pour cet ip, elle va router vers passerelle. Fonctionnement normal IP <BR>2- pour elle, le paquet est à delivrer localement car elle fournit ses ip aux clients. <BR>elle va alors faire une requete ARP : "WHO HAS 15.10.10.10" <BR>C'est là que le proxy arp se met en branle : la passerelle va repondre que c'est elle, avec son adresse mac <BR>"I have 15.10.10.10 : 33:33:33:33:33:33" <BR>et le paquet va lui etre envoyé, elle va pouvoir le router. <BR> <BR>De nos jours, avec la democratisation du reoutage, le proxy arp n'est plus tres utilisé... <BR> <BR>Tom <BR> <BR>
One hundred thousand lemmings can't be wrong...
Avatar de l’utilisateur
tomtom
Amiral
Amiral
 
Messages: 6035
Inscrit le: 26 Avr 2002 00:00
Localisation: Paris

Messagepar Vnex » 19 Mai 2003 16:55

okay de suite c'est bocou plus clair! <BR> <BR>merci beaucoup
Avatar de l’utilisateur
Vnex
Matelot
Matelot
 
Messages: 6
Inscrit le: 15 Mai 2003 00:00
Localisation: Toulouse


Retour vers Mandriva MNF & SNF

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité