Réseaux privé/publique Fermé

Question

Bonjour, 

Je lis actuellement des documentations RFC pour mettre en place un réseau. 
Sur la RFC 3330 (http://www.faqs.org/rfcs/rfc3330.html il est écrit pour une dresse du type 10.0.0.0/8 "This block is set aside for use in private networks.". Donc c'est réservé au réseau privé et ces adresses IP ne doivent pas avoir accès à Internet si je comprend bien. Je dois donc faire un NAT (dynamique/statique).
Je suis actuellement en 129.a.0.0/16 et 129.b.0.0/16. Peut-on me confirmer que ce sont des adresses publiques ?

D'avance, je vous remercie.

RFCReader


Configuration: Windows XP / Firefox 3.6.3

dadoonet · Answer

Bonjour,
A priori c'est tout bon.
Tiens lit ça et tu seras rassuré
http://personnel.univ-reunion.fr/lorion/Site%202/Dr.%20Richard%20Lorion_files/chap4_R4.pdf

RFCReader · Answer

Ok merci pour le lien. 
 Comment puis-je savoir quelle adresse publique utiliser pour mon NAT ? Y a-t-il un site à consulter ? Celui du NIC peut-être ?

RFCReader

Apatik · Answer

Bonjour,

L'adresse publique, ce n'est pas toi qui la définit, mais ton FAI. Soit tu branche un pc sur ton point d'accès, soit un routeur (et donc un NAT)

Cordialement.

RFCReader · Answer

Ah bah oui ... Dans ce cas je sais comment la connaître :-)

Merci

RFCReader · Answer

Désolé pour le doublon mais je ne sais pas comment éditer :-s
Dans le cas le cas d'un NAT statique, comment puis-je connaitre toutes les adresses IP publiques correspondantes à mes adresses privées ?

vania02 · Answer

Bonjour, Pour connaitre ton adresse publique derriére ton routeur ou box ou autre essaye le site : http://monip.net/ et tu obtiendras l'adresse publique. Si c bien ça que tu voulais.

Apatik · Answer

Woups là! Tu n'as pas bien saisi le fonctionnement du routeur en fait :)

Tu as un accès internet par IP publique. Cette adresse est affectée a ton routeur donc. Ton routeur a donc d'un coté (coté internet) une IP publique, et de l'autre coté (réseau privé), une IP locale. Chaque PC n'est raccordé qu'au routeur, et n'a donc qu'une IP (Privée). Le routeur reçoit tout le trafic (puisque c'est le seul a avoir une IP publique), et redirige vers les PC en adressant chaque paquet a l'IP locale qui l'attend.
Le NAT, c'est pour rediriger les ports vers une IP locale. C'est a dire que si on envoie une connection vers l'IP publique du routeur, c'est qu'elle s'adresse au routeur (sauf si c'est la réponse a une requête d'un des pc). Pour que cette connection s'adresse directement a un pc, il faut établir une règle NAT qui va dire "Si on reçoit une requête sur le port XX de l'IP publique, il faut la transférer sur le port YY, de l'IP locale XX.XX.XX.XX".

Est-ce que c'est plus clair?

RFCReader · Answer

Premier paragraphe - OK, j'ai compris.

Le NAT, c'est pour rediriger les ports vers une IP locale. C'est a dire que si on envoie une connection vers l'IP publique du routeur, c'est qu'elle s'adresse au routeur (sauf si c'est la réponse a une requête d'un des pc). Pour que cette connection s'adresse directement a un pc, il faut établir une règle NAT qui va dire "Si on reçoit une requête sur le port XX de l'IP publique, il faut la transférer sur le port YY, de l'IP locale XX.XX.XX.XX".

Deuxième paragraphe - OK (après 2-3 relectures ^^). Donc dans ce cas, comment connaître le port xx a "raccorder" au port yy ? Ca se fait à la main (il n'y a pas de régles spécifiques) ? J'ai pas mal de pc donc ca va être un peu long si je dois tous les faire... Dans ce cas là, je passe par un NAT dynamique mais sans possibilités d'initier une connexion de l'extérieur...

Apatik · Answer

Si tu dois tout faire à la main?
Quand la requête pars d'un PC, le routeur lui affecte automatiquement la réponse, il n'y a pas de NAT a établir. 
Ce genre de règle va servir dans le cas d'un serveur derière un routeur. En se connectant à l'IP publique (au routeur donc), via le protocole HTTP (port 80 par défaut), il faudra établir une règle pour "router" le port 80 automatiquement vers l'IP locale du serveur. Si jamais tu veux router les connections SSH vers un pc particulier, tu établieras la règle NAT sur le port 22. Mais ces règles ne servent que pour les connections entrantes.

Donc je vais résumer le problème: "Qu'est ce que tu veux faire au final?"

RFCReader · Answer

Ok. J'ignorais le fait que ce soit le routeur qui effectué lui-même la correspondance @IP publique/@IP privée.

Ce que je veux faire ?
Faire un réseau avec des @IP privée derrière un NAT de préférence statique (parfois je dois avoir des connexions de l'exterieur).
Je me renseigne avant de le faire afin de voir si c'est la bonne solution ou si je dois en envisager une autre ;-).

Apatik · Answer

Non non non, je ne te demande pas de termes techniques genre ip statique, Nat, etc...
Explique moi avec des termes simples :)

Ce que je comprend, tu veux un groupe de pc qui peuvent accéder au net. C'est ce qu'il y a dans la majorité des foyers aujourd'hui. La box fait office de modem et de routeur à la fois. Elle est connecté au net, et chaque périphérique qui y est raccordé se voit connecté au net par son intermédiaire. Grace au serveur DHCP de la box, les ip (locales tu t'en doutes), sont flottantes, mais facilitent la connection d'un nouveau périphérique en ne nécéssitant pas de configuration.
Et dans ce cas, pas besoin de NAT. Comme je te l'ai dis, le NAT n'est que pour les connections entrantes sur le réseau.

RFCReader · Answer

OK. 

J'ai, en gros, 150 PCs  ayant des adresses IP fixes publiques (129.a.x.x et 129.b.x.x). Je veux refaire le plan d'adressage (mettre des adresses privées type 10.x.x.x ou 172.16.x.x) et les faire accéder au net (d'où le NAT car comme le dit la RFC 3330 "Addresses within this block should not appear on the public Internet.").

C'est bon ?

Apatik · Answer

150 PC avec des IP publiques? Il y a donc 150 lignes de téléphone? Ou tu voulais dire IP locales, et ils sont géographiquement dans "le même batiment"?

En tout cas, comme il s'agit juste d'un accès au net, il n'y a pas besoin de NAT, puisque celui-ci ne s'applique qu'aux connections entrantes.

RFCReader · Answer

arf.... 150 IP locales alors.
Donc je leur donne les adresses IP que je souhaite, je les relie au routeur et le tour est joué ?

Apatik · Answer

Et oui! Aussi simple que ça..
Reste a ce que le routeur aie de quoi brancher les 150 PCs, tu as tout le matériel?

RFCReader · Answer

Les switchs ? oui
les baies de brassage ? oui

j'oublie peut-être quelque chose ....

Apatik · Answer

Je pense pas :)
Après, les grands réseaux.. je ne maitrise pas. Ca devient théorique pour moi.
Ce dont je suis sur, c'est que tu n'as absolument pas besoin de NAT.
Le seul cas où tu en auras besoin, c'est si tu as un serveur (web, ssh, ftp, ...) ou un logiciel de téléchargement type "emule, bittorent, ...". Bref, pour rediriger une connection entrante vers un pc précis parmis les 150.

RFCReader · Answer

Et c'est là qu'intervient le NAT ^^. J'ai parfois besoin de faire des connexions entrantes...
Je dois aussi faire une DMZ mais c'est autre chose

Apatik · Answer

Non non non, pas de DMZ!. Zéro pointé niveau sécurité!
Avec une DMZ, tu balance tout sur une IP donnée, ce qui supprime le rôle "pare-feu" du routeur.
Ok, ce que je te propose, c'est de configurer les ip fixes, et ensuite de t'attaquer aux règles NAT. C'est de quel type de connections entrantes dont tu as besoin? Vers un PC précis, ou tu veux avoir accès a tous les PC?

RFCReader · Answer

J'ai besoin d'une DMZ pour me connecter en webmail, entre autre, à mon serveur de messagerie depuis chez moi (je ne suis pas le seul à devoir le faire).
Sinon pour les connexions entrantes, ce n'est que quelques PCs précis.

Apatik · Answer

Pas besoin d'une DMZ pour le webmail. Si tu as une interface type "web", alors router le port 80 vers le serveur web via les règles NAT suffit. Si jamais tu utilises un client et qu'il se connecte en direct au port SMTP du serveur mail, alors c'est le port SMTP qu'il faut router (je ne me souviens plus lequel c'est, mais ça se trouve facilement)
Et pour les autres connexions entrantes.. pareil, une règle NAT. 

"Sur reception d'une connexion entrante sur le port XX, l'envoyer sur le port YY du PC n°XX.XX.XX.XX".

RFCReader · Answer

D'accord. Pas de DMZ mais un NAT.
Ca devient plus clair au fur et à mesure, de réponse en réponse.

Merci encore

Apatik · Answer

De rien, même pour moi c'est interressant de voir que ce que j'ai pu lire peux servir à d'autres. J'attends que tu me dise si ça marche ou pas.
De même si tu as besoin d'un coup de main pour établir tes règles NAT.. N'hésite pas.

RFCReader · Answer

Je vais le faire dans quelques jours, quelques semaines histoire de voir sur papier ce que ca peut donner parce que les 150 PCs c'est qu'une partie...

Apatik · Answer

Une question qui me vient à l'esprit quand même... C'est pas méchant, mais comment on a pu te demander de faire ce boulot alors que.. ça n'a pas l'air d'être ton métier...

RFCReader · Answer

L'apprentissage.... Je suis là pour apprendre ;-) mais au moins c'est formateur.

Apatik · Answer

Ah oui, on est bien d'accord :)
J'attend de tes nouvelles.

brupala · Answer

Salut,
houla,
je prends cette discussion et j'y découvre de drôles de choses .... hallucinantes, comme à l'époque où personne ne savait ce qu'étaient les réseaux ip et internet.
1/ un réseau privé numéroté en adresses publiques non attribuées, pour info, la rfc sur les adresses privées est la rfc1918.
un réseau peut très bien fonctionner avec des adresses publiques (et ça devrait être la règle), mais il vaut mieux en être légitime bénéficiaire. 
2/ Renumérotation totale à faire par quelqu' un qui n'est pas vraiment compétent .... ça promet de grands moments et de grosses pannes pour les utilisateurs.
3/ des conseils pour le moins approximatifs, mais qui ont le mérite d'exister, bien que dans cette situation le seul bon conseil serait de dire de s'adresser à des professionnels:
non le nat ne fonctionne pas que dans un seul sens, la traduction d'adresse, même dynamique se fait quelque soit le sens de connexion, seulement, dans un cas le routeur ou firewall connait l'adresse ip locale (cas sortant) et dans l'autre, si on ne la lui indique pas, il ne peut pas l'inventer.
4/ si il faut mettre un serveur public en dmz (ou alors isolé du réseau local de l'entreprise) car sinon, celui qui accède au serveur peut accéder à tout le réseau de l'entreprise, ce qui peut être dramatique.
Je ne sais pas qui dirige l'informatique dans cette boite, mais à mon avis, il va changer de job bientôt.

RFCReader · Answer

alors je répond point par point...
1/ J'ai bien la RFC 1918 (cité dans la 3330 d'ailleurs) mais je ne l'ai pas encore consultée. Pour le réseau uniquement en adresse publique, je le sais ;-)

2/ Je vais proposer un nouveau plan d'adressage et après il sera peut-être mis en place ou non.

3/ le nat ne fonctionne pas que dans un seul sens, la traduction d'adresse, même dynamique se fait quelque soit le sens de connexion, seulement, dans un cas le routeur ou firewall connait l'adresse ip locale (cas sortant) et dans l'autre, si on ne la lui indique pas, il ne peut pas l'inventer.  -----> c'est bien ce que je pensais au début.

4/ Oui bien sur, la DMZ doit être à part du réseau local.

Réseaux privé/publique

29 réponses

Discussions similaires