 |
||
| ||
| |||||
FORUM HardWare.fr
Linux et OS Alternatifs
[ROUTAGE] J'ai pas compris l'intérêt du S-NAT, on peut m'expliquer ?| Dernière réponse | |
|---|---|
| Sujet : [ROUTAGE] J'ai pas compris l'intérêt du S-NAT, on peut m'expliquer ? | |
| MC | Dans ce cas la on préfère généralement forger directement les paquets au lieu de mettre en place un S-NAT. |
| Aperçu |
|---|
| Vue Rapide de la discussion |
|---|
| MC | Dans ce cas la on préfère généralement forger directement les paquets au lieu de mettre en place un S-NAT. |
| Dark_Schneider | le S-NAT version hacker est essentiellement destiné au DoS par stauration d'envoi de requête. dans ce genre de cas tu t'en fous que l'on te réponde au bon endroit, tu veux juste le staturer car il doit traiter la demande |
| MC | Sinon je renvoie a la RFC de mon ex-collègue Kield Egevang, la 1631 et 3022
(le pire étant que sur un modem/routeur que j'ai récupéré, le NAT marche pas :/ ) |
| the_fireball | c vrai, j'avais oublier le load balancing :D |
| MC | A l'origine le SNAT c'est fait pour tout ce qui est load-balancing, cad une machine qui fait gateway et qui redistribue les requètes a plusieurs serveurs qui répondent a sa place, mais une seule machine est visible de l'exterieur... |
| the_fireball | une DMZ (Demilitarized Zone ou zone délimilitarisée en french), c'est en fait un sous-rezo dans lequel on mets en général les serveurs à vocation publique (mail, web). Le scéhma classique est un firewall à 3 pattes : une relié au net, une à la dmz et une au rezo local. Tous les serveurs placés en DMZ sont considérés comme "perdu", cad qu'on ne peut pas leur faire confiance, car ils doivent accepter des connexions entrantes et qu'ils peuvent etre plus "facilement" hackés que le machines du rezo local, qui elles, n'acceptent pas de connexions entrantes en provenance du net (où regnent les méchant hackers :D) |
| djoh | je te remercie encore une fois pour ta patience ;) hmmmm, je vois a peu près, maintenant, merci, c'est plus clair :jap: mais vu que je ne m'y connais pas tellement, y-a des informations qui me manque. par exemple, je viens de faire une recherche sous google, et je n'ai pas tres bien compris ce qu'est un DMZ, mais bon, pas la peine de t'embeter à me l'expliquer, j'apprendrais ça, quand j'en aurais besoin ;) ce que j'en retiens, c'est que le masquerading est suffisant dans la plupart des cas (pour des utilisations non spécifiques), et que ça me suffit pour l'utilisation que j'en ferais chez moi merci merci :hello: |
| the_fireball | En fait, quand je dis 3 ip publiques, je parle du cas d'une entreprise qui possède une plage d'ip publique en contenant 3. Bien evidemment qu'on ne peut pas avoir 3 ip publiques avec une connexion.
Effectivement, on pourrait aussi faire du portforwarding, et ça aurait marché. Mais bon, imagine que plus tard, cette entreprise veuille mettre dans une dmz ses serveurs web et mail. Dans le cas présent, elle a déjà les ip, les règles du firewall sont déjà écrites, elle a juste a créer une dmz, à mettre la bonne ip à ses machines et le tour est joué ! Et aussi, toujours dans mon exemple, le firewall peut etre rendu invisible au net. Je m'explique : les gens utilisent l'ip B pour aller sur le serveur web de l'entreprise. Ils ne savent pas que c'est en fait une ip virtuelle, qu'un firewall va redirigé vers un serveur web. Pour eux, ils naviguent sur le site, c l'essentiel. Si tu écrit bien les règle de ton firewall, tu peux faire croire à la majorité du net que tu as deux machines connectées au net (mail et web) alors que tu n'a en fait, qu'un firewall, qui lui, est injoignable du net (si bien configuré). C'est mieux comme ça ? |
| djoh |
[jfdsdjhfuetppo]--Message édité par djoh--[/jfdsdjhfuetppo] |
| the_fireball | C'es reparti, on reprends les mêmes places et on ré-écoute :D
Imagine que tu es 3 adresses IP publiques (A B C), un firewall (ip A), un serveur de mail, un serveur web. Pour des raisons de sécurité, le seul ordi a être relié au net et à avoir une IP publique est le firewall. Les serveurs web et mail ont une ip privée et son relié au firewall, que ce soit directement ou non, on s'en fout, il faut juste qu'ils puissent causé au firewall. Ensuite, dans tu configures le dns pour dire au gens que s'ils veulent venir sur ton site web, l'ip est B et que pour envoyer des mail, l'ip est C. Ca te permet de dire au gens, mais ça fait pas venir les paquets sur ton serveur web pour autant. Vient alors le SNAT. Tous paques voulant l'ip B arrive au firewall, qui a les regles pour l'envoyer au serveur web. Et quand le serveur web répond, son ip privée est transformée en ip B, comme ça, la communication peut se dérouler sans prob. DE meme pour le serveur de mail. Du coup, tu offres 3 services avec une seule machine reliée directement au net et 3 ip publiques. La aussi j'ai fait l'impasse sur les prob que ça engendre, mais tu vois le principe maintenant ? |
| djoh |
|
| the_fireball | Alors c'est parti, on s'assoit et on écoute :
avec iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE, tous les paquets qui sortent pas eth1 vont avoir leur adresse SOURCE remplacée par celle de eth1. Ensuite, le paquet modifié ira se ballader sur le rezo. Lorsque le paquet retour se présente devant eth1, le nat se met en branle et consulte sa table de nat pour savoir si le paquet est destiné à la machine en local ou à une autre machine du rezo local par exemple, et ensuite, le paquet retour continue son chemin vers la bonne destination. Avec iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4, tous paquets sortant par eth0 verra son adresse SOURCE remplacée par 1.2.3.4. Alors la, deux cas se présentent :
|
| djoh | et google n'est pas mon amis, sur ce coup là
il me renvoie vers plusieurs site qui, soit affiche le howto que j'ai déjà lu soit ils disent ce que ça fait (changement, dans le paquet, de l'ip source, mais ça j'avais bien compris), et pas comment ça peut fonctionner, et quelles en sont les applications |
| djoh |
|
| Dark_Schneider | je ne connais pas les détails de l'IP sppofing
alors fais des recherches, google est ton ami |
| djoh | dark, s'il te plait ? :sweat: |
| djoh |
|
| Dark_Schneider | je te hack mais quand tu regardes les adresses IP, ce sont celles d'un autre et non celles de mon ordi. |
| djoh |
|
| ethernal | cette règle n'a pas pour but que de router les données.
elle remplace ton ip interne par ton ip externe fournie par ton isp. le SNAT te permettrait de remplacer ton ip interne par une ip quelonque que tu choisirais (spoofing...). ça te t'ouvre une foule de possibilités sur un réseau un plus peu complexe. |
| djoh | :heink: quoi, y-a personne qui voit de quoi je parle ... :??: à moins que je me sois mal exprimer ? |
| djoh | j'ai pas compris l'interet du nat source.
moi j'ai fait la regle de base, pour router les donner, entre la passerelle et le LAN : iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE mais je vois pas la differnce entre le masquerading et le source nat normal ? du style : iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4 dans quelle cas utilise-t-on ce genre de regles ? Merci pour les infos ;) |
