Forum |  HardWare.fr | News | Articles | PC | S'identifier | S'inscrire | Shop Recherche
1331 connectés 

  FORUM HardWare.fr
  Linux et OS Alternatifs

  [ROUTAGE] J'ai pas compris l'intérêt du S-NAT, on peut m'expliquer ?

 


 Mot :   Pseudo :  
 
Bas de page
Auteur Sujet :

[ROUTAGE] J'ai pas compris l'intérêt du S-NAT, on peut m'expliquer ?

n°67814
djoh
Posté le 16-02-2002 à 05:38:21  profilanswer
 

j'ai pas compris l'interet du nat source.
 
moi j'ai fait la regle de base, pour router les donner, entre la passerelle et le LAN :
iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE
 
mais je vois pas la differnce entre le masquerading et le source nat normal ?
du style :
iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4
dans quelle cas utilise-t-on ce genre de regles ?
 
 
Merci pour les infos  ;)

mood
Publicité
Posté le 16-02-2002 à 05:38:21  profilanswer
 

n°67913
djoh
Posté le 16-02-2002 à 14:23:02  profilanswer
 

:heink:   quoi, y-a personne qui voit de quoi je parle ...  :??:  
 
 
à moins que je me sois mal exprimer ?

n°67941
ethernal
Chercheur de vérité...
Posté le 16-02-2002 à 16:27:53  profilanswer
 

cette règle n'a pas pour but que de router les données.
elle remplace ton ip interne par ton ip externe fournie par ton isp.
 
le SNAT te permettrait de remplacer ton ip interne par une ip quelonque que tu choisirais (spoofing...).
 
ça te t'ouvre une foule de possibilités sur un réseau un plus peu complexe.

n°67956
djoh
Posté le 16-02-2002 à 17:32:30  profilanswer
 

ethernal a écrit a écrit :

cette règle n'a pas pour but que de router les données.
elle remplace ton ip interne par ton ip externe fournie par ton isp.
 
le SNAT te permettrait de remplacer ton ip interne par une ip quelonque que tu choisirais (spoofing...).
 
ça te t'ouvre une foule de possibilités sur un réseau un plus peu complexe.  




 
 
je serais ravi si tu pouvais me donner un exemple concret  :D  
parce que là, je vois pas ...

n°67976
Dark_Schne​ider
Close the World, Open the Net
Posté le 16-02-2002 à 18:26:08  profilanswer
 

je te hack mais quand tu regardes les adresses IP, ce sont celles d'un autre et non celles de mon ordi.


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
n°67985
djoh
Posté le 16-02-2002 à 18:35:03  profilanswer
 

Dark_Schneider a écrit a écrit :

je te hack mais quand tu regardes les adresses IP, ce sont celles d'un autre et non celles de mon ordi.  




 
 
ben je m'étais dit que c'était un truc comme ça , au début, mais je comprends pas comment les paquets de réponses (ceux qui vienne de chez moi vers ton PC, pour suivre ton exemple) font pour retrouver leur chemin, dans ce cas ?

n°67998
djoh
Posté le 16-02-2002 à 18:44:00  profilanswer
 

dark, s'il te plait ?  :sweat:

n°68001
Dark_Schne​ider
Close the World, Open the Net
Posté le 16-02-2002 à 18:46:36  profilanswer
 

je ne connais pas les détails de l'IP sppofing
 
alors fais des recherches, google est ton ami


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
n°68003
djoh
Posté le 16-02-2002 à 18:48:16  profilanswer
 

Dark_Schneider a écrit a écrit :

je ne connais pas les détails de l'IP sppofing
 
alors fais des recherches, google est ton ami  




 
ben j'ai déjà pas franchement compris le howto de rusty ...
le chapitre 10 est un vrai charabia pour moi
et autant je capte de D-NAT, et le masquerading
mais le S-NAT, pas compris  :(

n°68014
djoh
Posté le 16-02-2002 à 19:22:17  profilanswer
 

et google n'est pas mon amis, sur ce coup là
il me renvoie vers plusieurs site qui, soit affiche le howto que j'ai déjà lu
soit ils disent ce que ça fait (changement, dans le paquet, de l'ip source, mais ça j'avais bien compris), et pas comment ça peut fonctionner, et quelles en sont les applications

mood
Publicité
Posté le 16-02-2002 à 19:22:17  profilanswer
 

n°68040
the_fireba​ll
I have fucking failed
Posté le 16-02-2002 à 20:42:34  profilanswer
 

Alors c'est parti, on s'assoit et on écoute :
 
avec iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE, tous les paquets qui sortent pas eth1 vont avoir leur adresse SOURCE remplacée par celle de eth1. Ensuite, le paquet modifié ira se ballader sur le rezo. Lorsque le paquet retour se présente devant eth1, le nat se met en branle et consulte sa table de nat pour savoir si le paquet est destiné à la machine en local ou à une autre machine du rezo local par exemple, et ensuite, le paquet retour continue son chemin vers la bonne destination.
 
Avec iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4, tous paquets sortant par eth0 verra son adresse SOURCE remplacée par 1.2.3.4. Alors la, deux cas se présentent :

  • si 1.2.3.4 est l'adresse publique associé à eth0, alors les paquets retour pourront revenir,
  • par contre, si 1.2.3.4 n'est pas l'ip publique, alors les paquets retour seront renvoyés à 1.2.3.4 qui n'en voudra pas car elle se sera pas quoi en faire vu que ce n'est pas elle qui a établié la connexion. Mais de cette manière, on peut faire tomber un site. Exemple : je lance des rafales énormes de ping depuis plusieurs machines que je controle, et je modifie l'adresse source comme étant celle de www.microsoft.com. Que va-t-til se passer ? Ben le site que je pingue va recevoir toutes les requetes et va renvoyer les réponses à www.microsoft.com, et ils croiront que c'est microsoft qui est à l'origine du flood.


Ok, c'est shématisé, mais tu vois le principe ?


---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
n°68053
djoh
Posté le 16-02-2002 à 21:20:07  profilanswer
 

the_fireball a écrit a écrit :

Alors c'est parti, on s'assoit et on écoute :
 
avec iptables -t nat -A POSTROUTING -o eth1 -j MASQUERADE, tous les paquets qui sortent pas eth1 vont avoir leur adresse SOURCE remplacée par celle de eth1. Ensuite, le paquet modifié ira se ballader sur le rezo. Lorsque le paquet retour se présente devant eth1, le nat se met en branle et consulte sa table de nat pour savoir si le paquet est destiné à la machine en local ou à une autre machine du rezo local par exemple, et ensuite, le paquet retour continue son chemin vers la bonne destination.
 
Avec iptables -t nat -A POSTROUTING -o eth0 -j SNAT --to 1.2.3.4, tous paquets sortant par eth0 verra son adresse SOURCE remplacée par 1.2.3.4. Alors la, deux cas se présentent :

  • si 1.2.3.4 est l'adresse publique associé à eth0, alors les paquets retour pourront revenir,
  • par contre, si 1.2.3.4 n'est pas l'ip publique, alors les paquets retour seront renvoyés à 1.2.3.4 qui n'en voudra pas car elle se sera pas quoi en faire vu que ce n'est pas elle qui a établié la connexion. Mais de cette manière, on peut faire tomber un site. Exemple : je lance des rafales énormes de ping depuis plusieurs machines que je controle, et je modifie l'adresse source comme étant celle de www.microsoft.com. Que va-t-til se passer ? Ben le site que je pingue va recevoir toutes les requetes et va renvoyer les réponses à www.microsoft.com, et ils croiront que c'est microsoft qui est à l'origine du flood.


Ok, c'est shématisé, mais tu vois le principe ?  




 
 
et bien MERCI !
ça m'éclaire beaucoup, même si j'aurais pu m'en douter un peu
en fait , ce qui me gène, pour que je comprenne tout-à-fait l'utilité du S-NAT (autre que le masquerading) c'est que je ne comprends pas à quoi ça sert : une application/utilité concrete.
En effet, j'imagine que cette fonction n'a pas été conçu pour hacker un PC, ou faire un ping flood ?!

n°68057
the_fireba​ll
I have fucking failed
Posté le 16-02-2002 à 21:28:08  profilanswer
 

C'es reparti, on reprends les mêmes places et on ré-écoute :D
 
Imagine que tu es 3 adresses IP publiques (A B C), un firewall (ip A), un serveur de mail, un serveur web. Pour des raisons de sécurité, le seul ordi a être relié au net et à avoir une IP publique est le firewall. Les serveurs web et mail ont une ip privée et son relié au firewall, que ce soit directement ou non, on s'en fout, il faut juste qu'ils puissent causé au firewall. Ensuite, dans tu configures le dns pour dire au gens que s'ils veulent venir sur ton site web, l'ip est B et que pour envoyer des mail, l'ip est C. Ca te permet de dire au gens, mais ça fait pas venir les paquets sur ton serveur web pour autant. Vient alors le SNAT. Tous paques voulant l'ip B arrive au firewall, qui a les regles pour l'envoyer au serveur web. Et quand le serveur web répond, son ip privée est transformée en ip B, comme ça, la communication peut se dérouler sans prob. DE meme pour le serveur de mail. Du coup, tu offres 3 services avec une seule machine reliée directement au net et 3 ip publiques.
 
La aussi j'ai fait l'impasse sur les prob que ça engendre, mais tu vois le principe maintenant ?


---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
n°68062
djoh
Posté le 16-02-2002 à 21:38:15  profilanswer
 

the_fireball a écrit a écrit :

C'es reparti, on reprends les mêmes places et on ré-écoute :D
 
Imagine que tu es 3 adresses IP publiques (A B C), un firewall (ip A), un serveur de mail, un serveur web. Pour des raisons de sécurité, le seul ordi a être relié au net et à avoir une IP publique est le firewall. Les serveurs web et mail ont une ip privée et son relié au firewall, que ce soit directement ou non, on s'en fout, il faut juste qu'ils puissent causé au firewall. Ensuite, dans tu configures le dns pour dire au gens que s'ils veulent venir sur ton site web, l'ip est B et que pour envoyer des mail, l'ip est C. Ca te permet de dire au gens, mais ça fait pas venir les paquets sur ton serveur web pour autant. Vient alors le SNAT. Tous paques voulant l'ip B arrive au firewall, qui a les regles pour l'envoyer au serveur web. Et quand le serveur web répond, son ip privée est transformée en ip B, comme ça, la communication peut se dérouler sans prob. DE meme pour le serveur de mail. Du coup, tu offres 3 services avec une seule machine reliée directement au net et 3 ip publiques.
 
La aussi j'ai fait l'impasse sur les prob que ça engendre, mais tu vois le principe maintenant ?  




 
 
je te remercie beaucoup pour ta patience  :jap:  
et je sens que ça va pas durer avec toutes mes questions  :D  
 
j'ai encore deux trucs qui me gène avec ce que tu me dis :
1- J'ai l'impression que tu me parles de D-NAT, mais c'est sans doute moi qui m'embrouille ?
2- Tu dis 3 ip public, mais quand t'es connecté au net, avec une seule adresse ip, tu peux pas en avoir 3  :??:  
 
Pour reprendre ton exemple, je pensais que la solution consistais à faire du port forwarding (chaque serveur obtient ainsi son ip privée, retrouvée par la passerelle sur la base du port indiquer en entete de paquet), ce qui est du D-NAT. Je me mélange qq'part ?

 

[jfdsdjhfuetppo]--Message édité par djoh--[/jfdsdjhfuetppo]

n°68072
the_fireba​ll
I have fucking failed
Posté le 16-02-2002 à 22:20:24  profilanswer
 

En fait, quand je dis 3 ip publiques, je parle du cas d'une entreprise qui possède une plage d'ip publique en contenant 3. Bien evidemment qu'on ne peut pas avoir 3 ip publiques avec une connexion.
 
Effectivement, on pourrait aussi faire du portforwarding, et ça aurait marché. Mais bon, imagine que plus tard, cette entreprise veuille mettre dans une dmz ses serveurs web et mail. Dans le cas présent, elle a déjà les ip, les règles du firewall sont déjà écrites, elle a juste a créer une dmz, à mettre la bonne ip à ses machines et le tour est joué ! Et aussi, toujours dans mon exemple, le firewall peut etre rendu invisible au net. Je m'explique : les gens utilisent l'ip B pour aller sur le serveur web de l'entreprise. Ils ne savent pas que c'est en fait une ip virtuelle, qu'un firewall va redirigé vers un serveur web. Pour eux, ils naviguent sur le site, c l'essentiel. Si tu écrit bien les règle de ton firewall, tu peux faire croire à la majorité du net que tu as deux machines connectées au net (mail et web) alors que tu n'a en fait, qu'un firewall, qui lui, est injoignable du net (si bien configuré).
 
C'est mieux comme ça ?


---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
n°68076
djoh
Posté le 16-02-2002 à 22:34:58  profilanswer
 

je te remercie encore une fois pour ta patience  ;)  
 
hmmmm, je vois a peu près, maintenant, merci, c'est plus clair  :jap:  
 
mais vu que je ne m'y connais pas tellement, y-a des informations qui me manque.
 
par exemple, je viens de faire une recherche sous google, et je n'ai pas tres bien compris ce qu'est un DMZ, mais bon, pas la peine de t'embeter à me l'expliquer, j'apprendrais ça, quand j'en aurais besoin  ;)  
 
ce que j'en retiens, c'est que le masquerading est suffisant dans la plupart des cas (pour des utilisations non spécifiques), et que ça me suffit pour l'utilisation que j'en ferais chez moi
 
merci merci  :hello:

n°68077
the_fireba​ll
I have fucking failed
Posté le 16-02-2002 à 22:46:56  profilanswer
 

une DMZ (Demilitarized Zone ou zone délimilitarisée en french), c'est en fait un sous-rezo dans lequel on mets en général les serveurs à vocation publique (mail, web). Le scéhma classique est un firewall à 3 pattes : une relié au net, une à la dmz et une au rezo local. Tous les serveurs placés en DMZ sont considérés comme "perdu", cad qu'on ne peut pas leur faire confiance, car ils doivent accepter des connexions entrantes et qu'ils peuvent etre plus "facilement" hackés que le machines du rezo local, qui elles, n'acceptent pas de connexions entrantes en provenance du net (où regnent les méchant hackers :D)


---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
n°68080
MC
retour à la raison
Posté le 16-02-2002 à 22:53:44  profilanswer
 

A l'origine le SNAT c'est fait pour tout ce qui est load-balancing, cad une machine qui fait gateway et qui redistribue les requètes a plusieurs serveurs qui répondent a sa place, mais une seule machine est visible de l'exterieur...

n°68084
the_fireba​ll
I have fucking failed
Posté le 16-02-2002 à 22:55:40  profilanswer
 

c vrai, j'avais oublier le load balancing :D


---------------
Two thousand years of misery, of torture in my name, hypocrisy made paramount, paranoia the law, my name is called religion, sadistic, sacred whore.
n°68092
MC
retour à la raison
Posté le 16-02-2002 à 23:03:25  profilanswer
 

Sinon je renvoie a la RFC de mon ex-collègue Kield Egevang, la 1631 et 3022
 
(le pire étant que sur un modem/routeur que j'ai récupéré, le NAT marche pas :/ )

n°68164
Dark_Schne​ider
Close the World, Open the Net
Posté le 17-02-2002 à 11:32:14  profilanswer
 

le S-NAT version hacker est essentiellement destiné au DoS par stauration d'envoi de requête. dans ce genre de cas tu t'en fous que l'on te réponde au bon endroit, tu veux juste le staturer car il doit traiter la demande


---------------
Mandriva : parce que nous le valons bien ! http://linux-wizard.net/index.php
n°68232
MC
retour à la raison
Posté le 17-02-2002 à 13:19:43  profilanswer
 

Dans ce cas la on préfère généralement forger directement les paquets au lieu de mettre en place un S-NAT.

mood
Publicité
Posté le   profilanswer
 


Aller à :
Ajouter une réponse
  FORUM HardWare.fr
  Linux et OS Alternatifs

  [ROUTAGE] J'ai pas compris l'intérêt du S-NAT, on peut m'expliquer ?

 

Sujets relatifs
C'est quoi l'interet de la reiserfs ?[Linux Red Hat]Comment activer le routage ?
[Linux Red Hat]Compilation du noyau optimisé pour le routageProbleme de routage sous linux
Script NAT + firewall simpleVerifier que le routage fonctionne bien.
NetFilter qu'est ce qu'il fait ? et le NAT !!!!soft pour gerer les ports, le NAT etc sous linux ?
Routage Iptables facile ...Red Hat, ip masquerade, routage et ADSL ???
Plus de sujets relatifs à : [ROUTAGE] J'ai pas compris l'intérêt du S-NAT, on peut m'expliquer ?


Copyright © 1997-2022 Hardware.fr SARL (Signaler un contenu illicite / Données personnelles) / Groupe LDLC / Shop HFR