Masquage et traduction d'adresses!!

par **nabilinux** » 16 Mai 2003 16:36

salut! cette question est vraiment théorique mais j'arrive pas à avoir une vision claire!! c'est koi la différence entre la masquage d'adresse et la traduction d'adresse? vous ne voyez pas que c la meme chose?

par **grosbedos** » 16 Mai 2003 16:51

ben disons que le masquage d'IP fait de la traduction d'adresse..c'est ca la difference..

par **nabilinux** » 16 Mai 2003 17:01

et alors pourkoi on nous demande ds la mnf de configurer le masquage d'adresse puis la traduction! là je comprend rien <IMG SRC="images/smiles/icon_confused.gif"> en effet ds le masquage g masqué tt le réseau privé 192.168.1.0/24 derière l'unique adresse ip que g attribué à l'interface externe eth1 (SNAT) et puis on me demande de faire la traduction d'adresse!!! c koi la diff?

par **grosbedos** » 16 Mai 2003 17:14

a mon avis ce qu'il te demande c'est l'adresse de traduction qu'il doit utiliser! quand tu fait du masquage tu as ton lan qui a une IP 192.168... qui doit etre traduit en une adresse 80.8.... voila pour ce qui est de mnf je n'ai jamais testé!

par **grosbedos** » 16 Mai 2003 17:18

SNAT??? non c'est du MASQUERADE

par **nabilinux** » 16 Mai 2003 17:21

j'arive pas à comprendre!! en effet je sais que la NAT permet de faire la SNAT et la DNAT ainsi que le proxy transparent à l'aide de SQUID! mais tout ça c'est téorique, ds la pratique c tjr la meme chose: PRENDRE CETTE ADRESSE ET LA CHANGER PAS UNE AUTRE c'est pas ça?

par **grosbedos** » 16 Mai 2003 17:32

ben si.. je ne connais presque la theorie aussi! on peut faire du SNAT du DNAT et du MASQUERADE toi le prob c que tu prends SNAT je pense..le MASQUERADE c'est pareil presque sauf que ca s'aplique a tout ce qui sort d'une interface.. la difference entre snat et dnat c'est que l'un est effectuer quand le paquets passe la chaine POSTROUTING, et l'autre PREROUTING..

par **nabilinux** » 16 Mai 2003 17:46

donc si je fais du SNAT c'est pour les paquets sortant! et je dois donc définir des régles pour le DNAT aussi! dans ce cas on va dire que tout le réseau est masqué sous la seule ip disponible... Mais qd je reçois un paquet de l'extérieur il ne sais pas où aller car g pas fait du DNAT <IMG SRC="images/smiles/icon_lol.gif">

par **tomtom** » 19 Mai 2003 12:16

Holla ! La différence est très simple : Le nat (source comme destination) ca consiste à momdifier l'adresse source ou destination par une autre. Si on veut faire du nat sur 10 adresses privées, il faut 10 adresses publiques ! Le masquerading, c'est une extention du nat quand on n'a qu'une seule adresse publique. Ca utilise un nat qui remplace toutes les adresses privées par l'adresse publique ainsi qu'un "pat" (port translation) qui remplace les ports source et/ou destination pour que plusieurs adresses privées puisse utiliser la même adresse publique et que le firewall retrouve tous ses petits au retour.... On fait souvent une assimilation, et tout le monde parle de nat alors que l'on fait presque tous du masquerading... Voila tout .... Tom

par **Vnex** » 19 Mai 2003 16:16

Et la différence entre NAT statique et proxy ARP? Ils disent dans l'aide que proxy ARP est plus pratique car il permet d'utiliser la même adresse IP en externe qu'en interne mais j'ai du mal à comprendre la différence. Un proxy ARP ca va travailler sur l'association @mac @ip non? Donc si on veut accéder à une machine A apparetenant à la DMZ avec l'ip 192.168.10.3 et que l'on désire la masquer pour qu'elle soit accesible depuis le net avec l'ip publique 80.10.12.2 et que la configuration du firewall est du type: eth0 wan 80.10.12.1 eth1 lan 192.168.1.2 eth2 dmz 192.168.10.1 il faudrat donc effectuer les requetes vers A depuis le LAN avec l'adresse 80.10.12.2 en ayant comme passerelle l'@ 80.10.12.1, non? Et si on veut pouvoir y acceder depuis le WAN comment faudrat t'il faire? Si maintenant on utilise de la translation NAT statique, en quoi est ce que la configuration devrat etre differente? J'ai du mal à saisir pas mal de truc la dedans et je suis bien paumé!

par **tomtom** » 19 Mai 2003 16:38

Nat statique ou proxy arp, dans les deux cas on parle ici du cas ou tu souhaite utiliser des ip publiques dans ta DMZ (par exemple, si ton FAI te fournit 10 IP, tu peux en attribuer une pour chaque serveur !) Le NAT statique, ca fera la même chose que le nat dont je parlais precedemment, cad que tu vas donner des adresses privées sur la dmz, et que a une adresse publique tu associes une et une seule adresse provée en DMZ? ex : 192.168.0.10 <-> 15.10.10.10 192.168.0.11 <-> 15.10.10.11 etc... En fait, il s'agit du nat classique. Pour le proxy arp, la methode est differente : Tu utilises tes ip publiques directement dans ton plan d'adressage (ce n'est pas conseillé à mon avis sur un plan sécurité, mais bon il y a encore des boites qui le font). La passerelle se fait passer sur internet pour l'ensemble des serveurs derrière elle, en repondant à leur place aux requetes ARP. ex : serveur 1 : ip 15.10.10.10, mac=11:11:11:11:11 serveur 2 : ip 15.10.10.11, mac=22:22:22:22:22 passerelle : cote wan : ip=15.10.10.15, mac=33:33:33:33:33 cote dmz : ip=15.10.10.16 mac=44:44:44:44:44 supposons que quelqun accede au serveur 1, sur le port 80, les paquets vont etre routés sur internet jusqu'à la passerelle du provider. Celle-ci va vouloir transmettre le paquet, et deux solutions : 1- elle sait qu'il y a une passerelle d'acces pour cet ip, elle va router vers passerelle. Fonctionnement normal IP 2- pour elle, le paquet est à delivrer localement car elle fournit ses ip aux clients. elle va alors faire une requete ARP : "WHO HAS 15.10.10.10" C'est là que le proxy arp se met en branle : la passerelle va repondre que c'est elle, avec son adresse mac "I have 15.10.10.10 : 33:33:33:33:33:33" et le paquet va lui etre envoyé, elle va pouvoir le router. De nos jours, avec la democratisation du reoutage, le proxy arp n'est plus tres utilisé... Tom

par **Vnex** » 19 Mai 2003 16:55

okay de suite c'est bocou plus clair! merci beaucoup

Masquage et traduction d'adresses!!

Qui est en ligne ?