Exercices NAT : infrastructure et configuration
Rédigé par GC Team, Publié le 20 Février 2010, Mise à jour le Jeudi, 15 Décembre 2022 21:08Participez au vote ☆☆☆☆☆★★★★★
Dans cet exercice, vous analysez le comportement du NAT mis en place sur ti public, dont ti prive et ti special sont les clientes.
Exercice 1 Infrastructure
Nous utilisons les deux réseaux privés au sens des RFC 10.1/16 et 10.2/16 respectivement pour relier les deux derniéres à la premiére citées ci-dessus. Vous trouverez dans /etc/hosts les adresses et noms IP utilisés,
soit :
soit :
129.194.71.243 ti_public
129.194.71.201 ti_prive
129.194.71.105 ti_special
129.194.71.201 ti_prive
129.194.71.105 ti_special
10.1.0.1 ti_public_de_prive
10.2.0.1 ti_public_de_special
10.1.0.2 ti_prive_de_public
10.2.0.2 ti_special_de_public
10.2.0.1 ti_public_de_special
10.1.0.2 ti_prive_de_public
10.2.0.2 ti_special_de_public
En plus, il y a une dissymétrie des régles réseau entre ti prive et ti special. Sur ti public, il existe des scripts utilisant iptables pour configurer et contr^oler le NAT.
Comme l'usage de la commande iptables est restreint à root, vous ne pouvez pas les exécuter, mais seulement voir leur contenu au moyen de :
Comme l'usage de la commande iptables est restreint à root, vous ne pouvez pas les exécuter, mais seulement voir leur contenu au moyen de :
more /usr/local/bin/*NAT
Exercice 2 Configuration
L'utilisateur root de ti public peut seul l'afficher, ce qui donne :
ti_public root - /root > ShowNAT
--> /proc/sys/net/ipv4/ip_forward contents: 1
-------------------------------------------
--> iptables filter:
Chain INPUT (policy ACCEPT 11M packets, 1421M bytes)
num pkts bytes target prot opt in out ;
; source destination
Chain FORWARD (policy ACCEPT 3248K packets, 654M bytes)
num pkts bytes target prot opt in out ;
; source destination
Chain OUTPUT (policy ACCEPT 6326K packets, 744M bytes)
num pkts bytes target prot opt in out ;
; source destination
-------------------------------------------
--> iptables nat:
ti_public root - /root > ShowNAT
--> /proc/sys/net/ipv4/ip_forward contents: 1
-------------------------------------------
--> iptables filter:
Chain INPUT (policy ACCEPT 11M packets, 1421M bytes)
num pkts bytes target prot opt in out ;
; source destination
Chain FORWARD (policy ACCEPT 3248K packets, 654M bytes)
num pkts bytes target prot opt in out ;
; source destination
Chain OUTPUT (policy ACCEPT 6326K packets, 744M bytes)
num pkts bytes target prot opt in out ;
; source destination
-------------------------------------------
--> iptables nat:
Chain PREROUTING (policy ACCEPT 267M packets, 11G bytes)
num pkts bytes target prot opt in out ;
; source destination
Chain POSTROUTING (policy ACCEPT 237K packets, 20M bytes)
num pkts bytes target prot opt in out ;
; source destination
1 82833 6332K SNAT all -- * * ;
; 10.1.0.0/16 0.0.0.0/0 to:129.194.71.243
2 74039 5616K SNAT all -- * * ;
; 10.2.0.0/16 0.0.0.0/0 to:129.194.71.243
Chain OUTPUT (policy ACCEPT 242K packets, 21M bytes)
num pkts bytes target prot opt in out ;
; source destination
-------------------------------------------
--> iptables mangle:
Chain PREROUTING (policy ACCEPT 279M packets, 13G bytes)
num pkts bytes target prot opt in out ;
; source destination
Chain INPUT (policy ACCEPT 11M packets, 1421M bytes)
num pkts bytes target prot opt in out ;
; source destination
Chain FORWARD (policy ACCEPT 3248K packets, 654M bytes)
num pkts bytes target prot opt in out ;
; source destination
Chain OUTPUT (policy ACCEPT 6332K packets, 745M bytes)
num pkts bytes target prot opt in out ;
; source destination
Chain POSTROUTING (policy ACCEPT 9575K packets, 1398M bytes)
num pkts bytes target prot opt in out ;
; source destination
Chain POSTROUTING (policy ACCEPT 237K packets, 20M bytes)
num pkts bytes target prot opt in out ;
; source destination
1 82833 6332K SNAT all -- * * ;
; 10.1.0.0/16 0.0.0.0/0 to:129.194.71.243
2 74039 5616K SNAT all -- * * ;
; 10.2.0.0/16 0.0.0.0/0 to:129.194.71.243
Chain OUTPUT (policy ACCEPT 242K packets, 21M bytes)
num pkts bytes target prot opt in out ;
; source destination
-------------------------------------------
--> iptables mangle:
Chain PREROUTING (policy ACCEPT 279M packets, 13G bytes)
num pkts bytes target prot opt in out ;
; source destination
Chain INPUT (policy ACCEPT 11M packets, 1421M bytes)
num pkts bytes target prot opt in out ;
; source destination
Chain FORWARD (policy ACCEPT 3248K packets, 654M bytes)
num pkts bytes target prot opt in out ;
; source destination
Chain OUTPUT (policy ACCEPT 6332K packets, 745M bytes)
num pkts bytes target prot opt in out ;
; source destination
Chain POSTROUTING (policy ACCEPT 9575K packets, 1398M bytes)
num pkts bytes target prot opt in out ;
; source destination
-------------------------------------------
; source destination
-------------------------------------------
Exercice 3: Au travail !
A vous de jouer avec ifconfig, netstat, ping, traceroute et ssh entre ces diverses interfaces depuis ces trois machines et au moins une autre, pour voir comment fonctionne le NAT mis en place.
Dans cette conguration, le NAT se comporte-t-il comme on s'y attend ?
Comment ti prive et ti special s'y prennent-elles pour accéder aux services de noms (voir /etc/named.conf) et de chiers du CUI ?
D'aprés le schéma de la page 133 du support de cours, ti prive et ti special pourraient-ils jouer le r^ole de passerelle dans certaines conditions ?
Dans cette conguration, le NAT se comporte-t-il comme on s'y attend ?
Comment ti prive et ti special s'y prennent-elles pour accéder aux services de noms (voir /etc/named.conf) et de chiers du CUI ?
D'aprés le schéma de la page 133 du support de cours, ti prive et ti special pourraient-ils jouer le r^ole de passerelle dans certaines conditions ?