Le 14 septembre 2017, nous avons publié une version actualisée de notre Politique de confidentialité. En utilisant video2brain.com vous vous engagez à respecter ces documents mis à jour. Veuillez donc prendre quelques minutes pour les consulter.

Linux : Les réseaux

Se servir du routeur NAT

TESTEZ LINKEDIN LEARNING GRATUITEMENT ET SANS ENGAGEMENT

Tester maintenant Afficher tous les abonnements
Un routeur Linux peut réécrire dynamiquement les adresses privées de votre réseau. Ainsi, vous découvrirez comment il peut se connecter à Internet.
08:23

Transcription

Toujours en parlant du routage, on va s'intéresser maintenant à la problématique que me posent les adresses privées. Les adresses qui sont définies dans la RFC 1918, ça, c'est le mot un petit peu technique. Si je descends sur cette page Wikipédia, ce sont des adresses IP que vous avez sans doute déjà vues, qui sont 10. quelque chose, 172. quelque chose ou 192.168. Alors qu'est-ce que c'est que ces adresses-là ? Ce sont des adresses IP privées qui sont là pour des réseaux locaux à l'intérieur des entreprises, et elles ont comme caractéristiques de ne pas être uniques sur Internet. Ça veut dire quoi qu'elles ne sont pas uniques sur Internet ? Ça veut dire que moi, je peux avoir ces adresses-là chez moi, vous pouvez les avoir chez vous, et votre voisin peut les avoir aussi. La portée de ces adresses-là n'est que locale, c'est-à-dire qu'elles ne seront pas relayées sur Internet. Du coup, quand on va avoir une adresse IP qui n'a qu'une portée locale, et qu'on va vouloir aller sur Internet, on va avoir un petit souci, puisque Internet, lui, n'est pas local, il est mondial. Alors, pour ça, on va utiliser la translation d'adresse réseau, c'est-à-dire qu'on va remplacer une adresse IP par une autre adresse IP. On va décrire ça. Alors, je peux voir ça ici toujours sur la page Wikipédia de la translation d'adresse réseau. En Anglais, ça se dit Network Address Translation ou NAT. Et on a un petit schéma un peu plus bas qui va correspondre à ce que je veux effectuer, c'est ce qu'on va appeler le NAT dynamique ici. Alors, le NAT dynamique c'est quoi ? Si je prends le schéma, ici, j'ai un réseau interne avec des adresses IP privées. Donc, ces adresses IP n'ont qu'une portée locale, normalement, elles ne doivent pas sortir sur Internet. Les routeurs qui sont sur Internet ne vont pas les relayer. Donc, ce sont ces adresses IP. Ici j'ai un routeur, ils l'ont appelé ici le routeur PAT, peu importe. J'ai un routeur qui d'un côté va avoir une carte réseau dans le réseau 10 point quelque chose. Et de l'autre coté, il va avoir une autre carte réseau avec une adresse IP qui, cette fois est unique. L'adresse IP qui est de ce coté-là, elle, n'est pas à portée locale, elle est bien à portée générale, elle est donnée par le fournisseur d'accès Internet. Alors, l'idée qu'il y a avec le routeur PAT, c'est d'automatiquement quand un paquet arrive ici, et doit être relayé du coté d'Internet, on va remplacer dynamiquement l'adresse IP d'expédition, la 10.102.1.1 par exemple qui arriverait là. On la relaye ici, mais au lieu de dire que le paquet provient d'un 10.102.1.1, on va dire qu'elle provient de l'adresse publique, ici, de l'adresse unique du routeur. Du coup, le destinataire du paquet va pouvoir revenir et s'adresser au routeur. Le routeur, il a une petite table de correspondance qui va faire qu'il va ré-émettre le paquet à l'intérieur en disant en fait non, le destinataire c'est pas mon adresse IP publique, c'est l'adresse IP privée qu'il avait demandée, donc, le 10.102.1.1. Et le paquet est alors ré-acheminé sur le réseau interne. Si je veux faire ça, tout d'abord sur la Debian. Donc, allons sur la Debian. Voilà, je suis sur ma Debian, si je veux faire ça sur la Debian, je vais pouvoir le réaliser à l'aide de la commande iptables, alors, ce sont des commandes qui vont manipuler le noyau, donc on a besoin de les lancer avec sudo. Je vais appeler ma commande iptables, et je vais lui dire que je vais effectuer de la translation de l'adresse réseau. Donc, je mets -t nat pour dire que fais de la translation de l'adresse réseau donc que je vais manipuler les adresses IP. Pour la translation de l'adresse réseau, j'ajoute une règle qui est une règle en POSTROUTING, ça veut dire quoi ? Ça veut dire que c'est une règle qui va manipuler les adresses réseau juste avant d'émettre le paquet physiquement. C'est-à-dire que là, on aura déjà choisi où est-ce qu'on allait les mettre. En plus, on va lui préciser qu'on l'envoie sur l'interface -o eth0. Si jamais c'est mon interface eth0 qui est du coté d'Internet, qui a une adresse IP publique. Si jamais c'est une autre interface, il faudra l'adapter dans ce cas-là. Et qu'est-ce que je fais ? Je fais -j MASQUERADE, ça aura pour effet final de remplacer l'adresse IP de l'expéditeur qui est une adresse IP privée par ma propre adresse IP publique qui est sur l'interface eth0. Donc, si je fais ça, il va rajouter une règle, il rajoute la règle, il me dit rien, ça veut dire qu'il l'a fait. Et à partir de ce moment-là, tous les paquets qui viennent depuis eth1 par exemple sur la machine, lorsqu'ils vont être réunis sur eth0, ils sont réunis avec l'adresse IP du routeur sur eth0. Donc finalement, on ne verra qu'une seule adresse IP publique du coté d'Internet. Le problème avec cette manipulation-là, c'est que cette manipulation-là, pour le moment, elle n'est faite qu'en mémoire, si je redémarre, eh bien, je ne vais pas pouvoir retrouver cette commande-là. Pour le faire, je vais installer un petit outil supplémentaire. Alors, sur la Debian pour installer un outil, je vais utiliser sudo apt, c'est le gestionnaire de paquet de la Debian, install iptables-persistent, c'est-à-dire pour rendre mes règles persistentes. Donc, il l'installe, il me dit tu as des règles, est-ce que tu veux qu'on les sauvegarde ? Ben oui, je vais les sauvegarder, hop. Voilà, je sauvegarde mes règles, et qu'est-ce qui ce fait ? Dans ce cas-là, lui, il va créer un fichier dans le répertoire /etc/iptables. Il crée deux fichiers d'ailleurs pas qu'un. Un fichier pour les règles ipv4, un fichier pour les règles ipv6, dans lequel, si je regarde ce qu'il y a dans ce fichier, /etc/iptables/rules.v4, dans lequel j'ai, sous une syntaxe particulière, les informations de ma commande. Et automatiquement, lors du redémarrage, eh bien, ces informations-là seront prises en compte. Alors, si jamais moi, je modifie d'autres règles, et que je veux qu'elles soient prises en compte, il va falloir que je fasse la chose suivante, alors, il faut que je sois en root pour faire ça. Donc, je vais faire sudo -s pour avoir un shell en tant que root. Et là, je vais faire iptables-save, donc si jamais je fais simplement ça, il les sauvegarde mais à l'écran. Eh bien, au lieu de les sauvegarder à l'écran, je vais rajouter /etc/iptables/rules.v4, qui est le fichier qui est lu lors du démarrage. Et en faisant ça, je régénère le fichier avec les règles courantes. Sur la CentOS, la manipulation est un petit peu différente. Donc là, je suis retourné sur mon routeur. Si jamais je fais ip addr show, j'ai les différentes interfaces réseau. J'ai enp0s3 et enp0s8 qui vont m'intéresser. Pour la manipulation, je vais supposer que enp0s3, qui est du coté de la CentOS, c'est mon interface publique. On va supposer que ça, c'est une adresse IP unique. Et l'interface enp0s8, elle, c'est l'interface privée, donc, je vais masquer cette interface-là, sous celle-là. La méthode est relativement simple, parce que j'ai beaucoup moins de choses à faire. C'est pris en compte par le mécanisme de gestion du réseau de la CentOS et de la Redhat qui s'appelle FirewallD. Celle-là, c'est mon interface extérieure, celle-là, c'est mon interface intérieure, et à partir de ce moment-là, le système doit s'occuper du reste. Alors, comment est-ce que je vais dire ça ? Déjà, je vais effacer ma page, mais je vais appeler la commande, alors c'est sudo, c'est firewall-cmd, parce qu'en fait c'est le gestionnaire des paquets qui est également utilisé par le Firewall. Je vais dire que je place -- zone=external -- dans ma zone externe, donc que je veuille dire, qui est l'extérieur de mon réseau, donc mon adresse IP publique. je vais rajouter l'interface enp0s3, donc, il me demande mon mot de passe. En faisant ça, j'ai configuré enp0s3 en disant qu'elle est à l'extérieur, c'est mon adresse IP publique. Et puis, je vais faire, sur la zone interne, donc je rappelle la commande, je vais juste changer un petit peu les éléments qui sont dedans. internal pour la zone interne, et la enp0s8. Si jamais je fais ça, eh bien, à partir de ce moment-là, j'ai le MASQUERADING, la translation de l'adresse réseau qui est activée. Si je veux rendre ces opérations persistentes, j'ai la même chose à faire, je n'ai pas d'autres fichiers à rentrer. Voilà, j'efface ma page. Si jamais je veux rendre ces règles persistentes, je vais rappeler la commande, et je vais rajouter au début --permanent. Et en faisant ça, cette règle va être permanente. Il m'affiche un message en rouge, parce que la règle est déjà là, donc il veut pas la remettre une deuxième fois. Mais le fait de mettre permanent, ça veut dire que lors du boot de la machine, la zone interne sera cette zone-là, et j'ai rien d'autre à faire, automatiquement, il va me faire la translation de l'adresse réseau.

Linux : Les réseaux

Maîtrisez la configuration des réseaux sur Linux. Mettez en place une configuration adaptée aux serveurs, et abordez le Network Manager, plus adapté aux postes de travail.

2h20 (26 vidéos)
Aucun commentaire n´est disponible actuellement
 
Thématiques :
IT
Administration réseau
Spécial abonnés
Votre/vos formateur(s) :
Date de parution :7 mars 2017
Durée :2h20 (26 vidéos)

Votre formation est disponible en ligne avec option de téléchargement. Bonne nouvelle : vous ne devez pas choisir entre les deux. Dès que vous achetez une formation, vous disposez des deux options de consultation !

Le téléchargement vous permet de consulter la formation hors ligne et offre une interface plus conviviale. Si vous travaillez sur différents ordinateurs ou que vous ne voulez pas regarder la formation en une seule fois, connectez-vous sur cette page pour consulter en ligne les vidéos de la formation. Nous vous souhaitons un excellent apprentissage avec cette formation vidéo.

N'hésitez pas à nous contacter si vous avez des questions !