Les cours du BTS SIO

Outils pour utilisateurs

Outils du site

Piste :
fichenat

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
fichenat [2022/11/08 21:11] techer.charles_educ-valadon-limoges.frfichenat [2023/11/05 20:02] (Version actuelle) – [Création d'une règle NAT statique] techer.charles_educ-valadon-limoges.fr
Ligne 2: Ligne 2:
  
 ===== Présentation  ===== ===== Présentation  =====
-Les réseaux privés utilisent des plages d'adresses IP qui ne sont pas routées sur Internet (RFC 1918). +Les **réseaux privés** utilisent des plages d'adresses IP qui ne sont **pas routées sur Internet** (RFC 1918). 
  
-Le mécanisme de NAT (Network Address Translation) permet de modifier les adresses source/destination et port source/destination d'un paquet IP pour permettre : +Le mécanisme de **NAT** (Network Address Translation) permet de **modifier** les **adresses IP** source/destination et les **ports** source/destination d'un paquet IP pour permettre : 
-  * à des ordinateurs d'un réseau privé d'accéder à Internet : il sagit du NAT dynamique ; +  * à des ordinateurs d'un réseau privé d'**accéder à Internet** : il sagit du **NAT dynamique** ou **NAPT** 
-  * d'acéder depuis internet à des serveur d'un réseau privé. Il s'agit du NAT Statique : +  * d'**accéder** depuis internet à des **serveurs d'un réseau privé** : il s'agit du **NAT Statique** 
-    * par redirection de port +    * par **redirection de port** ; 
-    * ou par association d'une adresse IP publique à une adresse IP privée. +    * ou par **association** d'une **adresse IP publique** à une **adresse IP privée**
  
 +===== Translation dynamique=====
 +**Objectif** : Translater un réseau privé en une (ou plusieurs) adresse IP publique
 +
 +{{ :nat_01.png |}}
 +    * le paquet IP prevenant d'un ordinateur du réseau privé est modifié par le pare-feu :
 +      * l'adresse IP source privée de l'ordinateur est remplacée par l'adresse IP publique du pare-feu
 +      * le port source de l'ordinateur est remplacé par un port dans la plage [20 000 - 59 9999].
 +
 +Le pare-feu garde mémoire de la correspondance de translation entre (l’adresse IP « @privA »/port source « xxxx ») et (l’adresse IP « @pub_fw »/port source 20000). Cette correspondance est utilisée pour translater les réponses en provenance du serveur WEB en remplaçant (l’adresse IP destination « @pub_fw »/port destination
 +2000) par (l’adresse IP destination « @privA »/port destination « xxxx »).
 +
 +===== Translation statique par port=====
 +**Objectif** : Donner accès à des serveurs internes du réseau privé depuis Internet avec l'adresse adresse IP publique du pare-feu
 +
 +{{ :nat_02.png |}}
 +
 +La **translation statique par port**, appelé communément **redirection de port**, permet de rendre accessible des services hébergés dans un réseau local via une seule adresse IP publique du pare-feu.
 +
 +Plusieurs services peuvent ainsi êtree publiés :
 +{{ :nat_03.png |}}
 +
 +===== Translation statique=====
 +**Objectif** : Dédier une adresse IP publique à un serveur interne du réseau privé.
 +==== Connexion entrante ====
 +
 +
 +{{ :nat_04.png |}}
 +
 +Il est nécessaire de disposer d'au moins deux adresses IP publiques poru le pare-feu : 
 +  * une adresse IP publique configurée sur l’interface externe du pare-feu
 +  * une adresse IP publique supplémentaire uytilisée dans la règle de translation.
 +
 +La translation statique doit être bidirectionnelle : 
 +  * le serveur local est accessible depuis internet, avec son adresse IP publique
 +  * les connexions sortantes initiées par ce serveur vers internet doivent avoir comme source la même adresse IP publique.
 +
 +Ceci nécessite deux règles de translation : 
 +  * une règle pour les connexions entrantes 
 +  * et une autre règle pour les connexions sortantes.
 +
 +==== connexion sortante ====
 +
 +
 +{{ :nat_05.png |}}
 +
 +Exemples des règles de translation :
 +{{ :nat_06.png |}}
 +
 +  * Publication ARP des adresses IP publiques virtuelles
 +Comme les adresses IP publiques virtuelles ne sont pas configurées sur l’interface externe du pare-feu, celui-ci ne répondra pas aux requêtes ARP pour la résolution de ces adresses IP en adresse MAC du pare-feu.
 +
 +Il est alors nécessaire d'activer la publication ARP des adresses IP publiques virtuelles pour le fonctionnement de la translation statique. Cela ajoute une entrée dans la table ARP du pare-feu pour faire la correspondance entre
 +chaque adresse IP publique virtuelle et l’adresse MAC de l’interface externe.  
 +
 +===== Création d'une règle NAT statique =====
 + L'assistant de création **règle de NAT statique (bimap)** permet de renseigner :
 +  * l'adresse IP **privée** et l'adresse IP **publique virtuelle** du serveur interne,
 +  * l'interface externe du pare-feu depuis laquelle le serveur sera accessible,
 +  * le ou les **ports d'écoute** du serveur
 +  * d'activer la **publication ARP**.
 +
 +L’assistant ajoute deux règles de translation :
 +  * une règle pour la translation des ****flux sortants** du serveur interne vers le réseau public,
 +  * une deuxième règle pour les **flux entrants** à destination de l’adresse IP publique virtuelle.
 + 
 +Les deux règles peuvent être ensuite modifiées par la suite indépendamment l’une de l’autre.
 +Translation
  
 ==== Retour  ==== ==== Retour  ====
fichenat.1667938296.txt.gz · Dernière modification : 2022/11/08 21:11 de techer.charles_educ-valadon-limoges.fr