You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
RTN / <strong>EC2LT</strong><br />
Réseaux et Techniques Numériques<br />
Ecole Centrale des Logiciels Libres et de Télécommunications<br />
<strong>RAPPORT</strong> <strong>NAT</strong>-<strong>PAT</strong><br />
Réseau et Télécommunication<br />
Ecole Centrale des Logiciels Libres et de Télécommunications<br />
Zone de Captage, Dakar – SénégalTel : (+221) 33 867 45 90 || (+221) 77 517 17 71<br />
http://www.ec2lt.sn || http://formation.rtn.sn/moodle<br />
Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
<strong>RAPPORT</strong> <strong>NAT</strong>-<strong>PAT</strong> – Page 1<br />
I. Partie I : Les Protocoles IP de la couche réseau<br />
Forme des adresses IP<br />
Masque de réseau<br />
Les classes d’adresses<br />
Partie II : Les réseaux privées et la traduction d’adresses (<strong>NAT</strong>)<br />
Présentation des fonctions <strong>NAT</strong> et <strong>PAT</strong><br />
Principes fonctionnalités de <strong>NAT</strong> et <strong>PAT</strong><br />
<strong>NAT</strong> statique<br />
<strong>NAT</strong> dynamique<br />
<strong>PAT</strong><br />
Partie III : Statique ou Dynamique<br />
Quand faire du <strong>NAT</strong> statique ?<br />
Quand faire du <strong>NAT</strong> dynamique<br />
Puis-je combiner ces deux méthodes<br />
Description horaire<br />
Partie IV : La sécurité et la <strong>NAT</strong><br />
La <strong>NAT</strong> dynamique permet-elle d’améliorer ma sécurité ?<br />
Est-ce utile pour la sécurité d’utiliser un proxy<br />
La <strong>NAT</strong> est-elle compatible avec IPSEC<br />
Utilitaire pour faire du <strong>NAT</strong><br />
Conclusion<br />
Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
• Descriptions<br />
Avec le développement croissant du monde de l'internet, et notamment des liaisons à connexions<br />
permanentes comme le câble ou l'ADSL, de plus en plus de particuliers utilisent de la <strong>NAT</strong> pour partager<br />
leur accès Internet, parfois même sans le savoir.<br />
Pour envoyer du courrier à un ami, vous utilisez son adresse postale. Ainsi vous êtes sûr que le paquet<br />
que vous envoyez arrivera à la bonne personne. Et bien pour les ordinateurs, c'est pareil. Quand vous<br />
connectez votre ordinateur à un réseau (Internet par exemple), il possède une adresse qui l'identifie<br />
d'une façon unique pour que les autres ordinateurs du réseau puissent lui envoyer des informations.<br />
• Objectifs<br />
• Public concerné<br />
- comprendre les mécanismes mis en<br />
œuvre dans la <strong>NAT</strong>,<br />
- Connaissance du modèle OSI et<br />
TCP/IP<br />
- Les classes d’adresse<br />
- Comprendre le découpage du<br />
réseau<br />
• Caractéristiques<br />
Durée : 20 minutes<br />
Formation très pratique dans la vie<br />
courante<br />
Niveau : 2/5<br />
-Etudiants<br />
- Passionné des outils libres<br />
• Proposition de :<br />
- Samuel OUYA<br />
samuel.ouya@gmail.com<br />
Contact : ecole.ec2lt@gmail.com<br />
• Prérequis<br />
- Avoir des bases en réseau<br />
- Connaitre les commandes de base réseau sous linux.<br />
- connaitre les commandes de base de la configuration<br />
d’un routeur.<br />
- Connaissances sur le modèle OSI et TCP/IP,<br />
- Routeur Cisco et IOS<br />
- Dimitri LEMBOKOLO<br />
(+221 77 272 95 00)<br />
waslest@yahoo.fr<br />
Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
I. Le protocole IP de la couche Réseau<br />
Le rôle fondamental de la couche réseau (niveau 3 du modèle OSI) est de déterminer la route que<br />
doivent emprunter les paquets. Cette fonction de recherche de chemin nécessite une identification de<br />
tous les hôtes connectés au réseau.<br />
Le modèle TCP/IP utilise un système particulier d'adressage qui porte le nom de la couche réseau de<br />
ce modèle : l'adressage IP. Le but de ce rapport est de présenter le fonctionnement de cet adressage<br />
dans sa version la plus utilisée IPv4.<br />
De façon académique, on débute avec le format des adresses IP. On définit ensuite les classes<br />
d'adresses IP, le premier mode de découpage de l'espace d'adressage. Comme ce mode de découpage<br />
ne convenait pas du tout au développement de l'Internet, on passe en revue aux améliorations<br />
apportées depuis 1980 : les sous-réseaux ou subnetting, la traduction d'adresses ou Native Address<br />
Translation (<strong>NAT</strong>).<br />
Le format des adresses IP<br />
Les adresses IP sont composées de 4 octets. Par convention, on note ces adresses sous forme de 4<br />
nombres décimaux de 0 à 255 séparés par des points.<br />
L'originalité de ce format d'adressage réside dans l'association de l'identification du réseau avec<br />
l'identification de l'hôte.<br />
La partie réseau est commune à l'ensemble des hôtes d'un même réseau ;<br />
La partie hôte est unique à l'intérieur d'un même réseau.<br />
Prenons un exemple d'adresse IP pour en identifier les différentes parties :<br />
Tableau 1. Exemple : adresse IP 192.168.1.1<br />
Adresse complète 192.168. 1. 1<br />
Masque de réseau 255.255.255. 0<br />
Partie réseau 192.168. 1.<br />
Partie hôte 1<br />
Adresse Réseau 192.168. 1. 0<br />
Adresse de diffusion 192.168. 1.255<br />
Le masque de réseau<br />
Le masque de réseau sert à séparer les parties réseau et hôte d'une adresse. On retrouve l'adresse du<br />
réseau en effectuant un ET logique bit à bit entre une adresse complète et le masque de réseau.<br />
L'adresse de diffusion<br />
Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
Chaque réseau possède une adresse particulière dite de diffusion. Tous les paquets avec cette<br />
adresse de destination sont traités par tous les hôtes du réseau local. Certaines informations telles que<br />
les annonces de service ou les messages d'alerte sont utiles à l'ensemble des hôtes du réseau.<br />
Voici le même exemple obtenu avec l'affichage de la configuration des interfaces réseau d'un hôte<br />
avec un système GNU/Linux :<br />
1. Les informations qui nous intéressent sont placées sur cette ligne. L'adresse 10.10.1.4 est<br />
l'adresse IP affectée à l'interface Ethernet eth1 ;<br />
2. L'adresse de diffusion est 10.255.255.255 compte tenu du masque réseau ;<br />
3. Le masque réseau à pour valeur : 255.0.0.0.<br />
Les classes d'adresses<br />
À l'origine, plusieurs groupes d'adresses ont été définis dans le but d'optimiser le cheminement (ou le<br />
routage) des paquets entre les différents réseaux. Ces groupes ont été baptisés classes d'adresses IP.<br />
Ces classes correspondent à des regroupements en réseaux de même taille. Les réseaux de la même<br />
classe ont le même nombre d'hôtes maximum.<br />
Deux adresses interdites<br />
Il est interdit d’attribuer à une machine d’un réseau IP, l’adresse du réseau et l’adresse de broadcast.<br />
Ce qui, pour le réseau 192.168.1.0/24, nous donne :<br />
adresse du réseau : 192.168.1.0<br />
adresse de broadcast : 192.168.1.255<br />
Les classes A, B et C (obsolète)<br />
Historiquement, le réseau Internet était découpé en classes d'adresses :<br />
Classe A :<br />
Le premier bit de ces adresses IP est à 0.<br />
Le masque décimal associé est 255.0.0.0, soit les 8 premiers bits à 1.<br />
Les adresses de ces réseaux ont la forme décimale a.0.0.0 avec a variant 0 à (2 7 -1 =) 127.<br />
Cette classe détermine ainsi (127 - 0 + 1 =) 128 réseaux.<br />
Le nombre de bits restant pour l'adressage des hôtes est de (32 - 8 =) 24.<br />
Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
Chaque réseau de cette classe peut donc contenir jusqu'à 2 24 -2 = 16 777 214 machines.<br />
L’adresse de classe A 127 est réservée pour les tests de bouclage et les fonctions de diagnostic.<br />
Classe B :<br />
Les 2 premiers bits de ces adresses IP sont à 1 et 0 respectivement.<br />
Le masque décimal associé est 255.255.0.0, soit les 16 premiers bits à 1.<br />
Les adresses de ces réseaux ont la forme décimale a.b.0.0 avec a variant de (2 7 =) 128 à (2 7 +<br />
2 6 -1 =) 191 et b variant de 0 à 255.<br />
Cette classe détermine ainsi [(191 - 128 + 1) × (255 - 0 + 1)]= 16 384 réseaux.<br />
Le nombre de bits restant pour l'adressage des hôtes est de (32 - 16 )= 16.<br />
Chaque réseau de cette classe peut donc contenir jusqu'à 2 16 -2 = 65 534 machines.<br />
Classe C :<br />
Les 3 premiers bits de ces adresses IP sont à 1, 1 et 0 respectivement.<br />
Le masque décimal associé est 255.255.255.0, soit les 24 premiers bits à 1.<br />
Les adresses de ces réseaux ont la forme décimale a.b.c.0 avec a variant de (2 7 + 2 6 )= 192 à (2 7<br />
+ 2 6 + 2 5 -1)= 223, b et c variant de 0 et 255 chacun.<br />
Cette classe détermine ainsi [(223 - 192 + 1) × (255 - 0 + 1) × (255 - 0 + 1)] = 2 097 152<br />
réseaux.<br />
Le nombre de bits restant pour l'adressage des hôtes est de (32 - 24 =) 8.<br />
Chaque réseau de cette classe peut donc contenir jusqu'à 2 8 -2 = 254 machines.<br />
Classe D :<br />
Les 4 premiers bits de ces adresses IP sont à 1, 1, 1 et 0 respectivement.<br />
Le masque décimal associé par défaut est 240.0.0.0, soit les 4 premiers bits à 1.<br />
Les adresses de cette classe ont la forme décimale a.b.c.d avec a variant de (2 7 + 2 6 + 2 5 ) = 224<br />
à (2 7 + 2 6 + 2 5 + 2 4 -)1 = 239, b, c et d variant de 0 et 255 chacun.<br />
Cette classe est spéciale : elle est réservée à l'adressage de groupes de diffusion multicast.<br />
Classe E :<br />
Les 4 premiers bits de ces adresses IP sont (tous) à 1.<br />
Le masque décimal associé par défaut est 240.0.0.0, soit les 4 premiers bits à 1.<br />
Les adresses de cette classe ont la forme décimale a.b.c.d avec a variant de (2 7 + 2 6 + 2 5 + 2 4 )=<br />
240 à (2 8 -1) = 255, b, c et d variant de 0 et 255 chacun.<br />
Cette classe est également spéciale : elle est actuellement réservée à un adressage de réseaux<br />
de recherche.<br />
Calcul<br />
Nombre total de sous-réseaux = 2<br />
nombre de bits restants<br />
Nombre total d'hôtes = 2<br />
Sous-réseaux utilisables = 2 nombre de bits empruntés - 2<br />
Hôtes utilisables = 2 nombre de bits restants - 2<br />
nombre de bits empruntés<br />
La notion de classe d'adresses a été rendue obsolète pour l'adressage des nœuds du réseau Internet car<br />
elle induisait une restriction notable des adresses IP affectables par l'utilisation de masques<br />
spécifiques. Les documents RFC 1518 et RFC 1519 publiés en 1993 spécifient une nouvelle norme :<br />
Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
l'adressage CIDR (cf. supra). Ce nouvel adressage précise qu'il est possible d'utiliser un masque<br />
quelconque appliqué à une adresse quelconque. Il organise par ailleurs le regroupement géographique<br />
des adresses IP pour diminuer la taille des tables de routage des principaux routeurs du réseau<br />
Internet.<br />
II.<br />
Les réseaux privés et la traduction d'adresses (<strong>NAT</strong>)<br />
Les réseaux privés se sont développés en «réaction» à deux évolutions de l'Internet : la mauvaise<br />
utilisation de l'espace d'adressage IPv4 et les besoins de sécurisation des réseaux d'entreprises.<br />
Ces évolutions on conduit à la conception de réseaux dits privés n'ayant que peu ou pas d'interfaces<br />
exposées sur le réseau public l'Internet.<br />
Pour planifier l'adressage d'un réseau privé, il faut distinguer deux cas de figure :<br />
Si le réseau privé n'est jamais interconnecté avec d'autres réseaux (notamment l'Internet), on<br />
peut utiliser n'importe quelle adresse.<br />
Si le réseau privé peut être interconnecté avec d'autres réseaux via un routeur, on doit utiliser<br />
les adresses réservées à cet usage. Ces adresses sont données dans le document RFC1918.<br />
Dans la pratique, c'est le second cas de figure que l'on retrouve le plus souvent.<br />
Tableau 2. Réseaux privés<br />
Classe Masque réseau Plage d’dresses internes RFC 1918 Notation CIDR<br />
A 255.0.0.0 10.0.0.0 - 10.255.255.255 10.0.0.0/8<br />
B 255.240.0.0 172.16.0.0 - 172.31.255.255 172.16.0.0/12<br />
C 255.255.0.0 192.168.0.0 - 192.168.255.255 192.168.0.0/16<br />
Généralement, les FAI configurent généralement les routeurs périphériques de façon à empêcher le<br />
transfert du trafic privé. Avec <strong>NAT</strong>, les sociétés individuelles peuvent attribuer des adresses privées à<br />
certains ou tous leurs hôtes, et utiliser <strong>NAT</strong> pour leur procurer un accès à Internet.<br />
Présentation des fonctions <strong>NAT</strong> et <strong>PAT</strong><br />
<strong>NAT</strong> est conçu pour conserver des adresses IP et permettre aux réseaux d’utiliser des adresses IP<br />
privées sur les réseaux internes. Ces adresses internes privées sont traduites en adresses publiques<br />
routables.<br />
Un matériel compatible <strong>NAT</strong> fonctionne généralement à la périphérie d’un réseau d’extrémité. Quand<br />
un hôte situé à l’intérieur du réseau d’extrémité souhaite émettre vers un hôte de l’extérieur, il<br />
transfère le paquet au routeur périphérique frontière. Ce routeur périphérique frontière effectue le<br />
processus <strong>NAT</strong> et traduit l’adresse privée interne d’un hôte en une adresse publique externe routable.<br />
Les termes ci-dessous, liés à <strong>NAT</strong>, ont été définis par Cisco :<br />
Adresse locale interne – L’adresse IP attribuée à un hôte du réseau interne. Il s’agit<br />
généralement d’une adresse privée RFC 1918.<br />
Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
Adresse globale interne – Une adresse IP légitime attribuée par InterNIC ou par le<br />
fournisseur d’accès, et qui représente une ou plusieurs adresses IP locales internes pour le<br />
monde extérieur.<br />
Adresse locale externe – L’adresse IP d’un hôte externe telle que la connaisse les hôtes du<br />
réseau interne.<br />
Adresse globale externe – L’adresse IP attribuée à un hôte du réseau externe. C’est le<br />
propriétaire de l’hôte qui attribue cette adresse.<br />
Principales fonctionnalités <strong>NAT</strong> et <strong>PAT</strong><br />
Les traductions <strong>NAT</strong> peuvent avoir de nombreuses utilisations et peuvent indifféremment être<br />
attribuées de façon statique ou dynamique.<br />
<strong>NAT</strong> statique<br />
La fonction <strong>NAT</strong> statique est conçue pour permettre le mappage biunivoque d’adresses locales et<br />
globales. Ceci s’avère particulièrement utile pour les hôtes qui doivent disposer d’une adresse<br />
permanente, accessible depuis Internet. Ces hôtes internes peuvent être des serveurs d’entreprise ou<br />
des équipements de réseau.<br />
‣ Configuration<br />
Traduction statique :<br />
Etablir le mappage statique :<br />
Router (config)#ip nat inside source static {@ IP locale} {@ IP globale}<br />
Définir les interfaces :<br />
Router (config-if)#ip nat inside<br />
L’interface connectée à l’intérieur<br />
Router (config-if)#ip nat outside<br />
L’interface connectée à l’extérieur<br />
<strong>NAT</strong> dynamique<br />
La fonction <strong>NAT</strong> dynamique est conçue pour mapper une adresse IP privée sur une adresse publique.<br />
Une adresse IP quelconque prise dans un groupe d’adresses IP publiques est attribuée à un hôte du<br />
réseau.<br />
‣ Configuration<br />
Définir une liste d’adresses IP globales à allouer :<br />
Router (config)#ip nat pool {nom_pool} {@ IP début} {@ IP fin} netmask {masque de SR}<br />
Définir une ACL standard autorisant les adresses qui doivent être traduites.<br />
Etablir la traduction dynamique<br />
Router (config)#ip nat inside source list {n° ACL} pool {nom_pool}<br />
Définir les interfaces :<br />
Router (config-if)#ip nat inside L’interface connectée à l’intérieur<br />
Router (config-if)#ip nat outside L’interface connectée à l’extérieur<br />
Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
Remarque :<br />
Cisco recommande de ne pas configurer les listes d’accès référencées par des commandes<br />
<strong>NAT</strong> à l’aide de la commande permit any. En effet, permit any peut mener la fonction <strong>NAT</strong> à<br />
consommer trop de ressources routeur, ce qui peut occasionner des problèmes<br />
Surcharge :<br />
Il existe deux façons de configurer la surcharge, en fonction de la manière dont les adresses IP<br />
publiques ont été allouées.<br />
Un FAI ne peut allouer qu’une adresse IP publique à un réseau.<br />
Définir une ACL standard autorisant les @ qui doivent être traduites.<br />
Spécifier l’@ globale, en tant que groupe à utiliser par la surcharge :<br />
Router (config)#ip nat pool {nom_pool} {@ IP début} {@ IP fin} netmask {masque de SR}<br />
Etablir la traduction dynamique :<br />
<br />
Router (config)#ip nat inside source list {n° ACL} interface {interface} overload<br />
Définir les interfaces :<br />
Router (config-if)#ip nat inside<br />
Router (config-if)#ip nat outside<br />
L’interface connectée à l’intérieur<br />
L’interface connectée à l’extérieur<br />
<strong>PAT</strong><br />
Avec la traduction d’adresses de ports (Port Address Translation - <strong>PAT</strong>), plusieurs adresses<br />
IP privées peuvent être mappées sur une adresse IP publique unique.<br />
La fonction <strong>PAT</strong> utilise des numéros de port source uniques sur l’adresse IP globale interne, de façon<br />
à assurer une distinction entre les traductions.<br />
Le numéro de port est encodé sur 16 bits. Le nombre total d’adresses internes pouvant être<br />
traduites en une adresse externe peut théoriquement atteindre les 65 536 par adresse IP.<br />
De façon plus réaliste, le nombre de port pouvant être attribués à une adresse IP unique<br />
avoisine les 4000.<br />
déjà utilisé, <strong>PAT</strong> attribue le premier numéro de port disponible en commençant au<br />
début du groupe de ports approprié.<br />
configurées, <strong>PAT</strong> sélectionne l’adresse IP suivante pour tenter d’allouer de<br />
nouveau le numéro du port source initial.<br />
Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
III. Statique ou dynamique ?<br />
Quand faire du <strong>NAT</strong> statique ?<br />
Nous avons vu que la <strong>NAT</strong> statique permettait de rendre disponible une machine sur Internet, mais<br />
qu'il fallait par contre une adresse IP pour que ce serveur soit joignable.<br />
Il est donc utile d'utiliser la <strong>NAT</strong> statique quand vous voulez rendre une application disponible sur<br />
Internet, comme un serveur web, mail ou un serveur FTP.<br />
Quand faire du <strong>NAT</strong> dynamique ?<br />
La <strong>NAT</strong> dynamique permet d'une part de donner un accès à Internet à des machines possédant des<br />
adresses privées, et d'autre part d'apporter un petit plus en terme de sécurité.<br />
Elle est donc utile pour économiser les adresse IP, donner un accès à Internet à des machines qui n'ont<br />
pas besoin d'être joignables de l'extérieur (comme la plupart des utilisateurs). D'autre part, même<br />
quand on possède assez d'adresses IP, il est souvent préférable de faire de la <strong>NAT</strong> dynamique pour<br />
rendre les machines injoignables directement de l'extérieur.<br />
Par exemple, pour un usage personnel de partage de l'ADSL ou du câble, on utilise souvent la<br />
<strong>NAT</strong> dynamique pour partager son accès, étant donné que les machines n'ont pas besoin d'être jointes<br />
de l'extérieur.<br />
Puis-je combiner ces deux méthodes ?<br />
Oui, et c'est même souvent la meilleure solution lorsque l'on a à la fois des machines offrant un<br />
service, et d'autres qui n'ont besoin que de se connecter à Internet.<br />
Ainsi, on économisera les adresses IP grâce aux machines <strong>NAT</strong>tées dynamiquement, et on utilisera<br />
exactement le bon nombre d'adresses IP publiques dont on a besoin.<br />
Il est donc très intéressant de combiner ces deux méthodes.<br />
IV.<br />
La sécurité et la <strong>NAT</strong><br />
La <strong>NAT</strong> dynamique permet-elle d'améliorer ma sécurité ?<br />
La <strong>NAT</strong> dynamique permet de rendre les machines d'un réseau local inaccessibles directement de<br />
l'extérieur, on peut donc voir cela comme une sécurité supplémentaire. Mais cela n'est pas suffisant et<br />
il est indispensable d'utiliser un filtrage si l'on veut obtenir un bon niveau de sécurité.<br />
La <strong>NAT</strong> dynamique seule ne peut pas être considéré comme une sécurité suffisante<br />
Est-ce utile pour la sécurité d'utiliser un proxy ?<br />
Un proxy travaille au niveau 7 du modèle OSI, c'est à dire qu'il est capable d'interpréter et de modifier<br />
les informations du protocole sur lequel il travaille. Ainsi, il peut vérifier le contenu de ce qui est reçu<br />
de la part du serveur et en interdire ou modifier le contenu selon la politique choisie.<br />
L'utilisation d'un proxy pour des protocoles critiques est donc souvent utile si on veut avoir une bonne<br />
vision de ce qui se passe.<br />
La <strong>NAT</strong> est-elle compatible avec IPSEC ?<br />
Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
Si on veut être précis, la réponse est oui. Cependant, la norme IPSEC ayant différentes<br />
implémentations, ce n'est pas toujours le cas. D'ailleurs la plupart des constructeurs ont créé leurs<br />
propres solutions IPSEC pour traverser de la <strong>NAT</strong>.<br />
Le problème vient de l'encryptions de l'en-tête IP par les participants au tunnel IPSEC. Si l'adresse IP<br />
est modifiée pendant le trajet du paquet, elle ne sera pas la même à l'arrivée que celle qui a été<br />
encryptée au départ, et après comparaison, le paquet sera détruit.<br />
Cependant, en se plaçant en mode ESP et en faisant du tunneling, c'est la totalité du paquet qui est<br />
encryptée, et un nouvel en-tête est ajouté à celui-ci. Ainsi, la comparaison ne se fera pas sur l'en-tête<br />
modifiée, mais sur celle contenue dans les données du paquet.<br />
Utilitaires pour faire de la <strong>NAT</strong><br />
‣ 10.1 10.1 - Sous Windows<br />
Voici quelques noms de produits qui permettent entre autres de faire de la <strong>NAT</strong>, une présentation plus<br />
précise sera peut-être faite par la suite si cela s'avère utile.<br />
Je n'ai pas testés ces produits, ;-)<br />
Wingate, winroute lite, <strong>NAT</strong>32, TCPrelay...<br />
‣ 10.2 10.2 - Sous Unix<br />
IPchains, ipfilter, netfilter...<br />
Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
Mise en œuvre<br />
Architecture<br />
<strong>NAT</strong> statique (Routeur CISCO 3700, IOS : c3745-ipvoicek9-mz.124-9.T)<br />
Sur le Routeur <strong>NAT</strong> (Routeur<strong>NAT</strong>)<br />
hostname Routeur<strong>NAT</strong><br />
!<br />
interface FastEthernet0/0<br />
ip address 10.10.1.254 255.255.255.0<br />
ip nat inside<br />
! --- Définit Ethernet 0/0 avec une adresse IP et déclarer l’interface interne du <strong>NAT</strong><br />
!<br />
interface Serial0/0<br />
ip address 192.1.95.241 255.255.255.240<br />
ip nat outside<br />
clock rate 56000<br />
! --- Définit Serial 0/0 avec une adresse IP et déclarer l’interface externe du <strong>NAT</strong><br />
!<br />
ip nat inside source static 10.10.1.3 192.1.95.243<br />
ip nat inside source static 10.10.1.4 192.1.95.244<br />
!<br />
! ---Etats --- que tout paquet reçu sur l'interface à l'intérieur avec une adresse IP<br />
source de --- 10.10.1.3 est traduit par 192.1.95.243.<br />
! ---Etats --- que tout paquet reçu sur l'interface à l'intérieur avec une adresse IP<br />
source de --- 10.10.1.4 est traduit par 192.1.95.244<br />
Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
Sur le Routeur Internet (RouteurInternet)<br />
hostname RouteurInternet<br />
!<br />
interface FastEthernet0/0<br />
!<br />
interface Serial0/0<br />
ip address 192.1.95.242 255.255.255.240<br />
Sur les Machines<br />
Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
Vérification<br />
Visualiser les translations d'adresses :<br />
Activer le debug <strong>NAT</strong> :<br />
Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
Architecture<br />
<strong>NAT</strong> statique (Routeur CISCO 7200, IOS : c7200-advipservicesk9-mz.124-2.T)<br />
Sur le Routeur <strong>NAT</strong> (Routeur<strong>NAT</strong>)<br />
hostname R1<br />
!<br />
interface FastEthernet1/0<br />
ip address 10.10.1.1 255.0.0.0<br />
ip nat inside !---- Déclarer l’interface interne du <strong>NAT</strong>---:<br />
!<br />
interface Serial2/0<br />
ip address 192.1.65.241 255.255.255.240<br />
ip nat outside !----Déclarer l’interface externe du <strong>NAT</strong>---<br />
!<br />
clock rate 54120<br />
!<br />
!<br />
!---- Déclaration de votre pool d'adresses publiques---<br />
ip nat pool tpnat 192.1.65.243 192.1.65.254 netmask 255.255.255.240<br />
!<br />
!<br />
!---- Configurer l'ACL qui autorise les réseaux internes à utiliser le <strong>NAT</strong>----<br />
ip nat inside source list 7 pool tpnat<br />
access-list 7 permit 10.0.0.0 0.255.255.255<br />
!<br />
Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
!--- Déclarer le <strong>PAT</strong> sur l'interface de sortie ---<br />
ip nat inside source list 7 interface Serial2/0 overload<br />
!<br />
!<br />
ip nat translation timeout 7200 !--- Temps en seconde ---<br />
Sur le Routeur Internet (RouteurInternet)<br />
hostname R2<br />
!<br />
interface Serial1/0<br />
ip address 192.1.65.242 255.255.255.240<br />
!<br />
Sur les machines<br />
Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
Vérification<br />
Ping routeur R1 vers les machines<br />
Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
Ping machine vers routeurs<br />
Ping routeur R2 vers R1<br />
Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356
Afficher les statistiques de traduction<br />
Conclusion<br />
La <strong>NAT</strong> est aujourd'hui un élément important en réseau étant donné son énorme déploiement à<br />
travers le monde suite à l'annonce de la pénurie d'adresses IPv4. Certes, il y a le IPv6 pour palier à ce<br />
problème mais très peu l’utilise dans la sous régions.<br />
J'ai essayé de rendre la compréhension de cette technique la plus accessible possible.<br />
Cependant, il faut impérativement avoir quelques notions en réseau pour pouvoir bien comprendre les<br />
points délicats qu'elle comporte.<br />
Il y a et il y aura sûrement encore beaucoup de choses à dire sur le sujet. Vos remarques sont donc<br />
encore et toujours les bienvenues, aussi bien pour y ajouter des idées, que pour enlever le superflu.<br />
Front de Terre – Zone de captage – N°36 – Ninéa : 2652776R –RC : SN DKR 2006 B 16356