Auteur Sujet: Clarifier des notions en réseautique (Lu 4768 fois)

basilix · « **Réponse #12 le:** 14 novembre 2023 à 15:49:32 »

@vivien: J'ai quelques idées mais il faut que je revois certaines notions. Tant mieux si cela pourrait fonctionner !
Je crois que je ne trouverais pas suffisamment d'infos sur l'IPv6 dans mon livre « Computer Networks »,
de Tanenbaum & al., 6e édition. Comme un pro, j'aimerais monitorer le réseau local domestique.

basilix · « **Réponse #13 le:** 22 novembre 2023 à 16:20:36 »

Bonjour !

Je n'arrive pas à comprendre un principe.

Comment les paquets IP en SNAT avec deux routeurs en cascade traversent-ils le pare-feu final ?

Le NAT du premier routeur modifie le port source TCP / UDP dans le paquet IP. Le filtrage du premier pare-feu se réaliserait avant la phase de traduction.
Je ne saisis pas comment le pare-feu du second routeur filtre les paquets IP sortant ?

Mon livre sur les réseaux informatiques n'est pas assez détaillé sur la partie NAT. La RFC 3022 soumet qu'on ne place pas jamais deux dispositifs NAT l'un à la suite de l'autre.

xp25 · « **Réponse #14 le:** 22 novembre 2023 à 18:29:13 »

Un peu de lecture pour démystifier et apporter quelques pistes à votre projet -> https://www.it-connect.fr/informatique-cest-quoi-une-dmz/

basilix · « **Réponse #15 le:** 23 novembre 2023 à 09:15:04 »

Bonjour @xp25 !

Merci pour le lien. Quelque chose m'échappe parce que c'est abstrait (entre autres choses).

Mais ma question précédente ne pose pas sur une architecture DMZ. Des recherches sur le Web
me font penser que je dois connaître les pare-feux en terme de connaissance et prolonger ma lecture.

Je ne faisais pas de distinction conceptuelle entre les ports des hôtes (client ou serveur), jusqu'à ce que lise sur le forum
que les ports clients étaient associés dynamiquement [1].

Je suppose de façon incertaine que les liens entre les règles NAT et du pare-feu apparaissent parfois indissociables.
Cela m'apparaît en survolant la lecture de la documentation en ligne des pare-feux professionnels tels Sophos ou PfSense [2, 3].

Sources

trekker92 · « **Réponse #16 le:** 23 novembre 2023 à 11:43:04 »

Citation de: basilix le 23 novembre 2023 à 09:15:04

Je suppose de façon incertaine que les liens entre les règles NAT et du pare-feu apparaissent parfois indissociables.

deux choses :
1. dans les réseaux informatiques, les notions NAT/PAT sont très souvent confondues, notamment dans les interfaces des routeurs SOHO.
càd que tu verras NAT pour faire de la redirection de port ; en soit, par abus de langage : la redirection de port est bien PAT (port address translation, par opposition au NAT (pour Network), qui est le simple role de routage d'un routeur : traduire les adresses sur deux réseaux distincts)
2. la redirection de ports (PAT) et leur ouverture dans le pare-feu vont évidemment de pair : aucun intéret à rediriger des ports s'ils sont fermés ; certains équipements ouvrent donc automatiquement (ou le ferment) selon la redirection de port active ou non ; à contrario, sous openwrt je me souviens qu'il est (je sais pas si ca a changé) nécessaire d'ouvrir les ports en plus de rediriger celui/ceux concernés. La simple redirection dans la conf pare feu ne suffisait pas.

basilix · « **Réponse #17 le:** 23 novembre 2023 à 14:07:29 »

Bonjour @trekker92 !

Il me semble que le PAT est un type de NAT. Dans la RFC 3022 (2001), c'est nommé NAPT et c'est considéré comme du NAT traditionnel.

Citation de: trekker92 le 23 novembre 2023 à 11:43:04

La redirection de ports (PAT) et leur ouverture dans le pare-feu vont évidemment de pair : aucun intéret à rediriger des ports s'ils sont fermés ;
certains équipements ouvrent donc automatiquement (ou le ferment) selon la redirection de port active ou non [...]

Vu ainsi ! Mais comment les paquets IP sortants sont-ils filtrés par le pare-feu de la box lorsque le réseau local est géré par un autre routeur (avec NAT) ?
Une plage de port est automatiquement ouverte dans le pare-feu de la box pour les paquets IP sortants du réseau local de la box ?

zoc · « **Réponse #18 le:** 23 novembre 2023 à 15:12:16 »

Citation de: basilix le 23 novembre 2023 à 14:07:29

Vu ainsi ! Mais comment les paquets IP sortants sont-ils filtrés par le pare-feu de la box lorsque le réseau local est géré par un autre routeur (avec NAT) ?

Je crois que vous vous faites beaucoup de noeud au cerveau... En cas de double NAT, le routeur derrière la box n'est qu'un client du LAN de la box comme les autres... On pourrait empiler un nombre infini de niveaux de translation d'adresse (et de port si nécessaire) sans que ça ne soit un problème (en tout cas pour le traffic initié de l'intérieur et à destination de l'extérieur).

Après le NAT du routeur, l'adresse source d'un paquet est l'adresse du port WAN du routeur, et deviendra l'adresse du port WAN de la box après le NAT de la box. Evidemment, tout ceci ne fonctionnerait pas sans maintient d'un état dans les 2 équipements (une table des connexions nattées en cours) pour changer l'adresse de destination des paquets qui reviennent...

basilix · « **Réponse #19 le:** 23 novembre 2023 à 16:27:20 »

Bonjour zoc !

Je fais en l'état de mes connaissances avec une compréhension limitée. Les abstractions font que cela n'est pas
forcément aussi clair. Il faut pouvoir faire des rapprochements et reconnaître les omissions. Je n'ai pas la science
infuse ! D'autant plus que je ne suis pas une lumière et que concevoir des choses, ce n'est pas donné à tout le monde.

C'est passer quelque peu à côté de mon problème, de juger que je me fais beaucoup de nœuds au cerveau.

Quoi qu'il en soit je pense que j'y arriverais. Vu ce que vous dîtes, j'en retire la conviction que le principe de fonctionnement
de ce que je ne saisis pas (que j'essaye d'entrevoir) n'est pas critique ou est sûrement bien défini, d'autre part.

basilix · « **Réponse #20 le:** 24 novembre 2023 à 06:43:34 »

Bonjour !

Je pense que j'ai une réponse partielle à ma question.

Citation de: Orange / Livebox 5

Niveau de sécurité : Moyen (recommandé)
Le pare-feu filtre toutes les connexions entrantes. Les connexions sortantes sont autorisées à l'exception des services Netbios.

Dans la configuration pare-feu standard, on n'a pas à se préoccuper des paquets sortants.

Citation de: Orange / Livebox 5

Niveau de sécurité : Élevé
Le pare-feu filtre toutes les connexions entrantes. Les connexions sortantes ne sont autorisées que pour les applications standards sur Internet (web, mails, news, ...).
Ce niveau restreint le service TV d’Orange aux chaînes TV. La Télévision à la demande et la VOD ne sont pas accessibles. Pour les clients Pros, le VPN site-à-site ne fonctionnera pas.

Certaines applications de jeux ou de peer-to-peer, qui reposent sur des connexions entrantes, risquent de ne plus fonctionner correctement.

Reste à savoir comment les paquets IP sortants des applications standards sur Internet traversent le pare-feu.

zoc · « **Réponse #21 le:** 24 novembre 2023 à 15:32:24 »

Citation de: basilix le 24 novembre 2023 à 06:43:34

Reste à savoir comment les paquets IP sortants des applications standards sur Internet traversent le pare-feu.

Le pare-feu bloque tout simplement tous les paquets sauf ceux destinés à un ensemble de ports bien connus (http, https, smtp, etc...). Le terme "application" est un peu galvaudé ici, la box ne fait pas de DPI et n'est en pratique pas capable de faire la distinction entre 2 applications différentes qui utiliseraient le même port destination (genre https, qui reste le plus commun).

basilix · « **Réponse #22 le:** 02 décembre 2023 à 12:48:58 »

Bonjour !

Ma question est très basique. Des gens se demandent comment former un réseau intranet avec une Livebox et un routeur.
Apparemment, c'est pour isoler quelques objets connectés (caméras, etc.) des autres stations (ordinateurs, etc.) du réseau.
Parmi les solutions avancées, certains affirment qu'il faut faire du routage statique entre différents appareils.

Pour créer deux sous-réseaux privés (adresses privées IPv4) dans le réseau local, combien de routeurs faut-il disposer ?

Hélas, j'ai mélangé plusieurs notions ! Les sous-réseaux, dans le contexte du sous-réseautage, c'est des réseaux se
partageant une plage d'adressage IP (un préfixe) attribuée par une autorité régionale dépendant de l'ICANN. Ce sont
des adresses IP publiques.

Kana-chan · « **Réponse #23 le:** 02 décembre 2023 à 13:07:35 »

Bah ... un seul ! Je dirais ...

Un sous-réseau n'a pas besoin en tant que tel d'avoir un routeur, mais le routeur vous permettra d'interconnecter les sous-réseaux.