update CM3
This commit is contained in:
Francois Lesueur
parent
8dbb15f117
commit
e554f4be35
41
cm3-archi.md
41
cm3-archi.md
@ -182,3 +182,44 @@ Pare-feu (_Firewall_)
|
||||
* Filtre uniquement entre des (V)LAN, lorsque le routage IP doit être fait
|
||||
* Exemple de règle
|
||||
* Ex [iptables](https://fr.wikipedia.org/wiki/Iptables)/[nftables](https://fr.wikipedia.org/wiki/Nftables)
|
||||
|
||||
|
||||
NAT
|
||||
---
|
||||
|
||||
* Des adresses IP privées/non routables sur Internet, des adresses IP publiques/routables sur Internet (RFC 1918). Plages privées :
|
||||
* 10/8, 172.16/12, 192.168/16
|
||||
* fd00::/8
|
||||
* Router = Rediriger sur la bonne patte réseau sans modifier les sources/destinations
|
||||
* Si une patte est sur une plage privée, la réponse sera non routable. NAT !
|
||||
|
||||
Le NAT/PAT (Network/Port Address Translation) s'occupe de modifier les ports/adresses à la volée au niveau du routeur :
|
||||
* D'un côté des adresses privées, de l'autre des adresses publiques
|
||||
* Communication initiée de public vers privé, impasse : le routeur ne peut pas savoir à qui c'est destiné
|
||||
* Communication initiée de privé vers public, translation d'adresse :
|
||||
* Paquet interne : IPsrc, PORTsrc, IPdst, PORTdst (avec IPsrc privée, IPdst publique)
|
||||
* Au NAT :
|
||||
* Substitution de IPsrc par IProuter : la réponse reviendra vers le routeur
|
||||
* (Substitution du PORTsrc pour un libre)
|
||||
* Enregistrement des paramètres de la communication sur le routeur NAT
|
||||
* Paquet externe : IProuter, PORTrouter, IPdst, PORTdst (avec IProuter publique)
|
||||
* La destination répond vers IProuter
|
||||
* Le routeur avait enregistré les paramètres à l'aller et sait re-substituer au retour
|
||||
|
||||
Intérêts du NAT :
|
||||
* Utiliser moins d'adresses IP publiques (rares et chères en IPv4)
|
||||
* Masquer l'architecture interne
|
||||
* Firewall par effet de bord (puisqu'entrée impossible)
|
||||
|
||||
Proxy
|
||||
-----
|
||||
|
||||
Proxy "classique", un relais applicatif vers l'extérieur :
|
||||
* Ajout d'un point de passage
|
||||
* Exemple HTTP : au lieu de se connecter au site distant, on se connecte au proxy qui fait la requête pour nous
|
||||
* Intérêts : mise en cache, journalisation/surveillance
|
||||
|
||||
Reverse proxy, un relais applicatif pour répartir la charge sur plusieurs serveurs :
|
||||
* Ajout d'un point de passage vers l'infra interne
|
||||
* Plusieurs serveurs applicatifs
|
||||
* Le proxy reçoit les connexions et les répartit vers les serveurs applicatifs
|
||||
|
||||
Loading…
Reference in New Issue
Block a user