Question NAT

par **svart** » 17 Sep 2003 18:04

Bonjour, Un jour, une question. j'ai en gros le schéma suivant : NET --- Routeur FAI --- Switch --- eth1 (192.168.1.1) MNF --- eth 0 --- switch --- LAN Le routeur de mon FAI fait je crois bien du SNAT : mon poste qui a une adresse non publique est ici identifié comme : 62.23.46.28 @ host.28.46.23.62.rev.coltfrance.com Ma question est : puisque le routeur du FAI fait en sorte de dissimuler mon adresse interne, est-il besoin de définir un masquerade sur le fw ? Je l'ai fait dans les termes actuels : eth1:0.0.0.0/0 192.168.0.0/24 (pas de SNAT) Qu'en pensez-vous ? Simon <IMG SRC="images/smiles/icon_confused.gif">

par **Jacques-** » 17 Sep 2003 19:47

Tu ne peux pas te passer de masquerade dans ton cas, puisque tu as tout un réseau derrière la MNF et que la seule adresse routable est celle de ton FAI. De plus, les adresses que tu utilises en local sont celles de la RFC1918 et ne sont donc pas routées sur le Web. Pour permettre à une adresse privée d'être vue du WAN, il faut qu'elle soit accessible et donc translatée. De plus la config de la MNF serait plus compliquée pour avoir côté WAN une adresse publique, côté LAN la même adresse publique. Il faudrait passer par du proxy ARP pour que cela soit possible si je ne m'abuse. Jacques

par **svart** » 18 Sep 2003 17:21

J'ai dû mal poser ma question, même si ta réponse semble m'inciter à conserver routeur FAI et firewall. Je pense que je pourrais supprimer le routeur FAI, et faire un masquerade incluant SNAT avec une des IP publiques fournies avec notre accès ADSL. Or pour l'instant, si je suis bien ma config, en admettant que j'envoie une requete sur internet depuis mon poste : -Je contacte ma passerelle/fw - L'IP de l'interface eth1 de ma passerelle se substitue à mon IP interne (toutes deux sont privées) - Le routeur de mon FAI susbtitue une IP publique à l'IP privée correspondant à eth1 - La réponse revient, le routeur dirige dynamiquement celle-ci à l'IP interne de l'interface eth1 - Qui fait la même chose et envoie la réponse à mon IP d'origine. Mon adresse de départ est-elle doublement dissimulée ? Car si je supprime le routeur FAI, ça devrait sauter une étape : -Je contacte ma passerelle/fw - Le fw susbtitue une IP publique à mon IP privée originale - La réponse revient sur eth1, le fw dirige dynamiquement celle-ci à mon IP de départ Voilà le sens de ma question. Sans réponse de quiconque, j'aurais tendance à conserver les deux matériels fw et routeur FAI car si mon fw pour une raison x ou y tombe en rade, je peux facilement en modifiant le DHCP de mon réseau modifier la passerelle par défaut de tous les postes, vers le routeur FAI. Qu'en pensez-vous ?

par **tomtom** » 18 Sep 2003 17:30

Tu as raison, et tu peux tout à fait supprimer le masquerading sur ta MNF.... Elle se comportera simplement comme un routeur/firewall, sans modifier l'adresse source. Ce sera d'ailleurs plus simple pour configurer certaines applications ! T.

par **svart** » 18 Sep 2003 17:44

Merci mon Amiral ! Il me semble donc que la bonne action soit : 1- conserver les deux matériels 2- ne pas utiliser de masquerade sur le fw Je progresse, je progresse... Encore 17 mois et j'aurais toutes les bases ! <IMG SRC="images/smiles/icon_rolleyes.gif"> Simon

par **tomtom** » 18 Sep 2003 17:47

Mais non ! Par contre, il y a un point que je n'ai aps pigé : Ton routeur, il fait aussi modem adsl, non ? Donc tu dois obligatoirement le conserver je pense. T.

par **svart** » 18 Sep 2003 18:02

Non ? C'est pas la bonne réponse que j'ai donné ? Ou bien tu disais non au 17 mois ? <IMG SRC="images/smiles/icon_smile.gif"> En fait, y'a un modem SpeedTouch, connecté au routeur FAI (Cisco), connecté à un switch, où qu'il y a mon firewall encore en phase de configuration.

par **tomtom** » 18 Sep 2003 18:41

<TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD>En réponse à:<HR></TD></TR><TR><TD><BLOCKQUOTE> Le 2003-09-18 18:02, svart a écrit: Non ? C'est pas la bonne réponse que j'ai donné ? Ou bien tu disais non au 17 mois ? <IMG SRC="images/smiles/icon_smile.gif"> En fait, y'a un modem SpeedTouch, connecté au routeur FAI (Cisco), connecté à un switch, où qu'il y a mon firewall encore en phase de configuration. </BLOCKQUOTE></TD></TR><TR><TD><HR></TD></TR></TABLE> Mais non, c'etait pour les 17 mois effectivement <IMG SRC="images/smiles/icon_wink.gif"> Mais quand tu dis que tu voudrais retirer un equipement, lequel pourrais-tu supprimer ? Tu es obligé bien sur de conserver le modem ! Peux-tu t'affranchir du routeur du FAI ? En général, cela n'est pas possible. Sinon, effectivement, il ne te sert pas à grand chose puisque le SME pourrait recuperer directement l'ip publique fournie par le modem, et faire elle-même le NAT. Ca te supprime un point de problème, et te permet d'etre sur de faire ce que tu veux au niveau des transferts de ports, car suivant le modèle du routeur ca peut etre galère. Aure point, ce sera surement plus simple de ne pas avoir ce routeur si tu veux faire un VPN ! Mais si tu dois absolument garder ce routeur, alors tu dois juste desactiver le MASQUERADING sur la SME. Cela repond-il à tes questions ? T. Ensuite, evidement tu devras conserver la SME si tu veux

par **svart** » 19 Sep 2003 10:25

Absolument, tu réponds à mes questions, d'autant que je souhaite faire du VPN à l'avenir - très probablement. Pour l'instant je vais garder les deux, supprimer le masquerade sur MNF, stabiliser le fonctionement de ma machine, la mettre en oeuvre pour le réseau interne tout entier. Quand viendras l'heure du VPN je ferais disparaitre le routeur du FAI - dont le rôle pour l'instant se borne à faire du SNAT. Merci de vos réponses, vraiment. La communauté Linux existe, je l'ai rencontrée ! Simon <IMG SRC="images/smiles/icon_bise.gif">

par **svart** » 19 Sep 2003 10:33

Détail supplémentaire à destination de ceux qui ont comme moi modem + routeur FAI + MNF : Ne pas indiquer sur l'interface WAN de respecter RFC1918. J'explique et l'on me dira si j'affabule : Cette interface, qui dialogue avec le routeur FAI, a une adresse IP privée. Si le fw envoie une requête sur le net, il l'envoie avec cette adresse privée, c'est le routeur qui fait SNAT et substitue une adresse publique. Quand le message revient, le routeur réattribue une adresse privée. Si l'interface du MNF est configurée RFC1918, TOUS les paquets seront droppés/rejectés. Et voui, puisque l'interface elle-même a une adresse privée et c'est ainsi qu'il lui sont adressés... Pour éliminer ce problème, il faut éliminer le routeur, et faire du SNAT avec une IP publique sur MNF. Ou abandonner RFC1918. Je ne sais si j'ai été limpide...

par **jdh** » 19 Sep 2003 10:54

A première vue le switch entre le routeur et le firewall (MNF) peut être remplacé par un cable croisé (puisqu'il y a aucune raison d'avoir une machine entre les 2). Si le firewall MNF ne fait pas de masquerade, il est par contre nécessaire que le router sache accéder au LAN (eth0) via l'adresse ip (externe = eth0) du MNF. Ce qui veut dire que le FAI doit connaitre les 2 réseaux (routeur <-> MNF et MNF <- LAN entreprise). Si le routeur ne connait pas ce 2me LAN, il n'y aura pas de retour. Ces questions me semblent correspondrent à un partage d'accès à Internet. Mais penses-tu à héberger quelques fonctions (mail, ftp, vpn, ...) ? As tu demandé comment cela se passera-t-il ? Notamment au travers du MNF, si tu installes une DMZ avec une autre carte, il faudra à nouveau que la route soit connue du routeur. Cela ouvre encore bien d'autres questions .....

par **svart** » 19 Sep 2003 10:59

Oula oui, plein de questions. Le switch sera remplacé par un câble croisé dès que j'aurais stabilisé le firewall. Il n'est là que pour me permettre d'avoir deux passerelles : l'une est le fw, l'autre le routeur du FAI. J'utilise le fw comme passerelle avec ma machine, et les autres clients du reseau utilise le routeur du FAI. Quand tout marchera bien, je mettrais tout le monde sur la même passerelle : le fw. Par contre je ne pige pas pourquoi mon FAI devrait connaitre les deux réseaux...

par **jdh** » 19 Sep 2003 12:31

Si tu ne masquerades pas, les paquets garde l'adresse source 192.168.0.x, comment fera le routeur pour y accéder ? Je suppose que ton PC a une adresse 192.168.1.x pour que tu puisse utilser le routeur comme passerelle ? Si tu lui affecte une adresse 192.168.0.x + passerelle = MNF, tu verras que sans masquerade tu n'accèdes pas. Quelle est l'interface du modem ADSL vers le routeur ? Si celle ci est en ethernet, tu devrais pouvoir mettre le firewall MNF directement face à ce modem selon que soit DHCP ou PPOE, cela est supporté par MNF.

par **jdh** » 19 Sep 2003 12:39

Je n'avais pas bien lu ta réponse ! Actuellement c'est comme ça : Modem ADSL <-> Routeur <-> réseau 192.168.1.x = PCs du réseau + MNF (eth1) MNF (eth0) <-> ton PC Bien sur, sur MNF il faut que sur eth1 il n'y ait pas RFC1918 car ce réseau est 192.168.x. Ton PC étant en 192.168.0, si tu masquerades il sort de MNF en 192.168.1, voit alors le routeur et let's go. Si tu ne masquerades pas, le paquet est transféré vers eth1, voit le routeur mais le routeur ne saura pas retourner vers 192.168.0 si la route ne lui est pas indiquée explicitement.

par **svart** » 19 Sep 2003 12:45

Bien sûr, excuse moi, suis-je bête. Il faut donc conserver le masquerade sur MNF OU indiquer la route au routeur (-mais le fw laissera-t-il passer ?) OU enlever le routeur FAI et utiliser MNF en PPOE avec le compte du modem. Est-ce juste ?

Question NAT

Qui est en ligne ?