Routeur, redirection de port et firewall

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Routeur, redirection de port et firewall

Messagepar sifu » 04 Mai 2004 13:31

Bonjour à tous,

J'utilse aujourd'hui chez moi un routeur d-link 504, derrière ce routeur se trouve plusieurs machines (debian, xp pro et win98 SE).

Afin de faire tourner un serveur web, un serveur pop3 etc... j'ai ouvert les ports 80,110 etc... (en udp et tcp) via l'interface de mon routeur pour les rediriger sur ma machine debian. Tout marche bien mais je me pose plusieurs questions:
La redirection du port 80 par ex., indique en fait au routeur de transmettre tous les infos de la machine sur le port 80 à une machine du réseau local, non ?

Le protocol NAT (je crois) permet que tous les machines puissent avoir internet. Comment se fait-il par exemple que quand je lance icq (qui doit utiliser un port donné), les données transites bien, bien que que la redirection ne soit pas activé ? Le protocole Nat, permet donc de localiser la machine concerné et lui redirige les paquets, non ?

Donc, la fermeture des ports (nou ouveture) ne bloque donc pas vraiment les ports.
Est ce que l'on a fait un système de la forme suivante ?
paquet + port + info sur la machine du réseau -> routeur laisse passé
paquet + port --> routeur ne laisse passé que si le port est ouvert

Sur chaque machine, j'ai un firewall mais j'aimerais savoir dans quelle limite la fermeture des ports bloquait le traffic ?

Merci et à bientôt !
Avatar de l’utilisateur
sifu
Matelot
Matelot
 
Messages: 9
Inscrit le: 13 Fév 2004 01:00
Localisation: IDF

Messagepar beemoon » 05 Mai 2004 09:55

c'est malin t'as réussi à melangé mes pinceaus!!! :lol:

J'ai travaillé avec le Di504 et je me suis pas posé autant de question. Le NAT ou redirection c'est pareil. Si tu autorisse un réseau entier (par broadcast) tout sort et entre. Il me semble que le Di ne permet pas de faire une plage entière mais IP par IP. La config par défaut c'est du gruyère. Si tu veux gérer les accès inrterdit tout puis autorise IP par IP à sortir par les ports que tu veux mais c'est galère. Le Di est bien pour une dixaine de machine pas plus!!! et en plus faut updater souvent le firmware car il se déconnecte souvent. Plus simple tu autorises tous, tu mets un parefeu (IPCop ou MNF) que tu paramètres bien selon tes besoin derriere, tu colles un switch ou hub sur ton parefeu (sur DMZ s'il faut : serveur web, mail), tu branche tes machines dessus et voila
"quand on veut on peut, seule la perséverence te mènera au bout du tunnel"
Avatar de l’utilisateur
beemoon
Aspirant
Aspirant
 
Messages: 123
Inscrit le: 14 Mars 2003 01:00

Messagepar ztim62 » 05 Mai 2004 11:01

Esseyons de faire simple :

Je ne connais pas le D-link mais tous les routeur/firewall fonctionne de la meme maniere en gros.

Quand tu rediriges un port (80 pour le web, etc ..) c''est pour l'exterieur. Cela veut dire que cela est necessaire pour que les client puissent acceder à ton site interne derriere ton routeur. Daans ce cas ils font une requete sur ton ip publique, ils arrivent sur ton routeur qui detecte que cela concerne le port 80 et donc redirige le flux vers la bonne machine.
Cela est valable pour tout les types de serveurs possibles que tu peut heberger (mail, web, ftp, ssh, etc ...)

Quand tu parle d'ICQ, cela se passe de la meme facon que si tu veut acceder a internet depuis ton reseau local. Dans ce cas tu fait une requete vers l'exterieur sur le port 80 (ds le cas du web) à partir d'un port quelconque de ta machine local tu passe par ton routeur qui va se charger de cette connexion, il connait le serveur auquel tu t'adresse IPserv:80 et ta machine local IPloc:4596 (port variable au "hazard") dans ce cas on ne passe pas par la redirection que tu as etablie precedemment, le traffic web=>lan passe par le port 4596 de ton routeur.

Pour resumé, la redirection des ports est necessaire dans le cas où tu heberge des serveurs derriere ton routeur.

Pour le reste : surf sur le web, icq, pop3, c'est le routeur (grace au nat) qui se charge de tout, par de redirection à mettre en place.

C'es assez $%#&! à expliquer, c'est surement confu mais je sais pas trop comment le dire autrement.
EPSI en force !
Avatar de l’utilisateur
ztim62
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 248
Inscrit le: 02 Déc 2003 01:00
Localisation: ARRAS

Messagepar ztim62 » 05 Mai 2004 11:06

Oups, j'ai pas repondu à ta derniere question !

Si tu as un routeur qui fait des redirection de ports, c'est qu'il fait office de firewall. Dans ce cas, cela ne sert à rien de mettre un firewall sur tes machines de ton LAN.

En effet toutes les connexions entrantes, si elle arrivent sur des ports non redirigés sont bloqué par le routeur. En effet, si le port n'est pas redirigé, il ne sait pas où l'envoyé, alors il le boque, il ne va pas choisir une machine au hazard ...

Sauf si il y a une option dans ton routeur qui spécifie une passerelle par defaut, ou une DMZ, c'est appelé de cette facon sur certain routeur SMC (mauvaise appelation mais bon).
EPSI en force !
Avatar de l’utilisateur
ztim62
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 248
Inscrit le: 02 Déc 2003 01:00
Localisation: ARRAS

Messagepar sifu » 05 Mai 2004 13:19

Tout d'abord merci pour tous !

J'en sais plus maintenant :D

J'ai trouvé une page intéréssante sur le nat:
http://www.lalitte.com/nat

Juste pour confirmation, j'aimerais savoir si mon routeur fait bien office de firewall, tous les ports non redirigés sont bien bloqués où est ce que le protocle nat peut-être trompé ?

Merci encore et à bientôt !
Avatar de l’utilisateur
sifu
Matelot
Matelot
 
Messages: 9
Inscrit le: 13 Fév 2004 01:00
Localisation: IDF

Messagepar duke » 08 Mai 2004 22:23

Le nat permet deux choses:
Translatter une adresse, masques des ip local derière une seule ip Wan.
et de pointer un port vers une ip spécifique, ou une ip vers une autre ex: ton ip wan vers une ip mocale pour arriver sur un page de serveur web
A+
duke
Quartier Maître
Quartier Maître
 
Messages: 25
Inscrit le: 08 Mai 2004 18:54


Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 0 invité(s)

cron