Différences

Ci-dessous, les différences entre deux révisions de la page.

--- fichenat [2022/11/08 21:11] – techer.charles_educ-valadon-limoges.fr
+++ fichenat [2025/11/11 21:35] (Version actuelle) – [Création d'une règle NAT statique] admin
@@ Ligne 2: / Ligne 2: @@
 ===== Présentation  =====
-Les réseaux privés utilisent des plages d'adresses IP qui ne sont pas routées sur Internet (RFC 1918).
+Les **réseaux privés** utilisent des plages d'adresses IP qui ne sont **pas routées sur Internet** (RFC 1918).
-Le mécanisme de NAT (Network Address Translation) permet de modifier les adresses source/destination et port source/destination d'un paquet IP pour permettre :
+Le mécanisme de **NAT** (Network Address Translation) permet de **modifier** les **adresses IP** source/destination et les **ports** source/destination d'un paquet IP pour permettre :
-  * à des ordinateurs d'un réseau privé d'accéder à Internet : il sagit du NAT dynamique ;
+  * à des ordinateurs d'un réseau privé d'**accéder à Internet** : il sagit du **NAT dynamique** ou **NAPT** ;
-  * d'acéder depuis internet à des serveur d'un réseau privé. Il s'agit du NAT Statique :
+  * d'**accéder** depuis internet à des **serveurs d'un réseau privé** : il s'agit du **NAT Statique** :
-    * par redirection de port
+    * par **redirection de port** ;
-    * ou par association d'une adresse IP publique à une adresse IP privée.
+    * ou par **association** d'une **adresse IP publique** à une **adresse IP privée**.
+===== Translation dynamique=====
+**Objectif** : Translater un réseau privé en une (ou plusieurs) adresse IP publique
+{{ :nat_01.png |}}
+    * le paquet IP prevenant d'un ordinateur du réseau privé est modifié par le pare-feu :
+      * l'adresse IP source privée de l'ordinateur est remplacée par l'adresse IP publique du pare-feu
+      * le port source de l'ordinateur est remplacé par un port dans la plage [20 000 - 59 9999].
+Le pare-feu garde mémoire de la correspondance de translation entre (l’adresse IP « @privA »/port source « xxxx ») et (l’adresse IP « @pub_fw »/port source 20000). Cette correspondance est utilisée pour translater les réponses en provenance du serveur WEB en remplaçant (l’adresse IP destination « @pub_fw »/port destination
+) par (l’adresse IP destination « @privA »/port destination « xxxx »).
+===== Translation statique par port=====
+**Objectif** : Donner accès à des serveurs internes du réseau privé depuis Internet avec l'adresse adresse IP publique du pare-feu
+{{ :nat_02.png |}}
+La **translation statique par port**, appelé communément **redirection de port**, permet de rendre accessible des services hébergés dans un réseau local via une seule adresse IP publique du pare-feu.
+Plusieurs services peuvent ainsi êtree publiés :
+{{ :nat_03.png |}}
+===== Translation statique=====
+**Objectif** : Dédier une adresse IP publique à un serveur interne du réseau privé.
+==== Connexion entrante ====
+{{ :nat_04.png |}}
+Il est nécessaire de disposer d'au moins deux adresses IP publiques poru le pare-feu :
+  * une adresse IP publique configurée sur l’interface externe du pare-feu
+  * une adresse IP publique supplémentaire uytilisée dans la règle de translation.
+La translation statique doit être bidirectionnelle :
+  * le serveur local est accessible depuis internet, avec son adresse IP publique
+  * les connexions sortantes initiées par ce serveur vers internet doivent avoir comme source la même adresse IP publique.
+Ceci nécessite deux règles de translation :
+  * une règle pour les connexions entrantes
+  * et une autre règle pour les connexions sortantes.
+==== connexion sortante ====
+{{ :nat_05.png |}}
+Exemples des règles de translation :
+{{ :nat_06.png |}}
+  * Publication ARP des adresses IP publiques virtuelles
+Comme les adresses IP publiques virtuelles ne sont pas configurées sur l’interface externe du pare-feu, celui-ci ne répondra pas aux requêtes ARP pour la résolution de ces adresses IP en adresse MAC du pare-feu.
+Il est alors nécessaire d'activer la publication ARP des adresses IP publiques virtuelles pour le fonctionnement de la translation statique. Cela ajoute une entrée dans la table ARP du pare-feu pour faire la correspondance entre
+chaque adresse IP publique virtuelle et l’adresse MAC de l’interface externe.
+===== Création d'une règle NAT statique =====
+ L'assistant de création **règle de NAT statique (bimap)** permet de renseigner :
+  * l'adresse IP **privée** et l'adresse IP **publique virtuelle** du serveur interne,
+  * l'interface externe du pare-feu depuis laquelle le serveur sera accessible,
+  * le ou les **ports d'écoute** du serveur
+  * d'activer la **publication ARP**.
+L’assistant ajoute deux règles de translation :
+  * une règle pour la translation des **flux sortants** du serveur interne vers le réseau public,
+  * une deuxième règle pour les **flux entrants** à destination de l’adresse IP publique virtuelle.
+Les deux règles peuvent être ensuite modifiées par la suite indépendamment l’une de l’autre.
+Translation
 ==== Retour  ====