update CM3
This commit is contained in:
parent
8dbb15f117
commit
e554f4be35
41
cm3-archi.md
41
cm3-archi.md
@ -182,3 +182,44 @@ Pare-feu (_Firewall_)
|
|||||||
* Filtre uniquement entre des (V)LAN, lorsque le routage IP doit être fait
|
* Filtre uniquement entre des (V)LAN, lorsque le routage IP doit être fait
|
||||||
* Exemple de règle
|
* Exemple de règle
|
||||||
* Ex [iptables](https://fr.wikipedia.org/wiki/Iptables)/[nftables](https://fr.wikipedia.org/wiki/Nftables)
|
* Ex [iptables](https://fr.wikipedia.org/wiki/Iptables)/[nftables](https://fr.wikipedia.org/wiki/Nftables)
|
||||||
|
|
||||||
|
|
||||||
|
NAT
|
||||||
|
---
|
||||||
|
|
||||||
|
* Des adresses IP privées/non routables sur Internet, des adresses IP publiques/routables sur Internet (RFC 1918). Plages privées :
|
||||||
|
* 10/8, 172.16/12, 192.168/16
|
||||||
|
* fd00::/8
|
||||||
|
* Router = Rediriger sur la bonne patte réseau sans modifier les sources/destinations
|
||||||
|
* Si une patte est sur une plage privée, la réponse sera non routable. NAT !
|
||||||
|
|
||||||
|
Le NAT/PAT (Network/Port Address Translation) s'occupe de modifier les ports/adresses à la volée au niveau du routeur :
|
||||||
|
* D'un côté des adresses privées, de l'autre des adresses publiques
|
||||||
|
* Communication initiée de public vers privé, impasse : le routeur ne peut pas savoir à qui c'est destiné
|
||||||
|
* Communication initiée de privé vers public, translation d'adresse :
|
||||||
|
* Paquet interne : IPsrc, PORTsrc, IPdst, PORTdst (avec IPsrc privée, IPdst publique)
|
||||||
|
* Au NAT :
|
||||||
|
* Substitution de IPsrc par IProuter : la réponse reviendra vers le routeur
|
||||||
|
* (Substitution du PORTsrc pour un libre)
|
||||||
|
* Enregistrement des paramètres de la communication sur le routeur NAT
|
||||||
|
* Paquet externe : IProuter, PORTrouter, IPdst, PORTdst (avec IProuter publique)
|
||||||
|
* La destination répond vers IProuter
|
||||||
|
* Le routeur avait enregistré les paramètres à l'aller et sait re-substituer au retour
|
||||||
|
|
||||||
|
Intérêts du NAT :
|
||||||
|
* Utiliser moins d'adresses IP publiques (rares et chères en IPv4)
|
||||||
|
* Masquer l'architecture interne
|
||||||
|
* Firewall par effet de bord (puisqu'entrée impossible)
|
||||||
|
|
||||||
|
Proxy
|
||||||
|
-----
|
||||||
|
|
||||||
|
Proxy "classique", un relais applicatif vers l'extérieur :
|
||||||
|
* Ajout d'un point de passage
|
||||||
|
* Exemple HTTP : au lieu de se connecter au site distant, on se connecte au proxy qui fait la requête pour nous
|
||||||
|
* Intérêts : mise en cache, journalisation/surveillance
|
||||||
|
|
||||||
|
Reverse proxy, un relais applicatif pour répartir la charge sur plusieurs serveurs :
|
||||||
|
* Ajout d'un point de passage vers l'infra interne
|
||||||
|
* Plusieurs serveurs applicatifs
|
||||||
|
* Le proxy reçoit les connexions et les répartit vers les serveurs applicatifs
|
||||||
|
Loading…
Reference in New Issue
Block a user