Traduction d'adresses
7. - DNAT traduction d'adresses de destination (port forwarding)
Introduction
Les adresses IP privées ne sont pas joignables sur Internet, ce qui signifie qu'il n'est pas possible d'atteindre un serveur web situé chez un particulier (encore une fois comment savoir où se situe une adresse privée partagée par des millions de personnes). Si l'on souhaite héberger un serveur web chez soi accessible depuis l'extérieur, il faut activer la DNAT (Destination Network Address Translation). C'est l'objectif de cette partie
Réseau d'étude
Reprendre le réseau étudié plus haut dans ce TP avec la NAT activée, le compléter pour obtenir le réseau suivant :
Remarque : créer une page d'accueil sur le serveur interne affichant un message du style : "Serveur web Interne".
Liaison WAN - LAN
Actuellement seule la SNAT est activée, donc les adresses privées sont natées avant d'atteindre le WAN. Aucune adresse privée n'est propagée sur le WAN
Qu'en est-il de l'inverse ? Est-il possible joindre une adresse privée depuis le WAN ? Tester les possibilités suivantes :
- Est-ce que Serveur peut joindre Client (ping) ?
- Est-ce que le navigateur de Serveur peut afficher la page d'accueil de SrvLan ?
Ce comportement n'est pas normal, il faut bloquer l'accès aux adresses privées depuis l'extérieur
Ce qui est peut être fait via l'IOS CISCO avec les commandes suivantes :
Router>enable
Router#configure terminal
Router(config)#access-list 100 permit ip any host 1.0.0.254
Router(config)#int fa1/0
Router(config-if)#ip access-group 100 in
Pour faire simple, on autorise les requêtes à destination de 1.0.0.254 et on interdit toutes les requêtes à destination des autres adresses.
Tester de nouveau les possibilités suivantes :
- Est-ce que Serveur peut joindre Client (ping) ?
- Est-ce que le navigateur de Serveur peut afficher la page d'accueil de SrvLan ?
C'est mieux !
Activation du DNAT sur le routeur
Que souhaitons-nous mettre en place ? L'accès au site web hébergé par SrvLan depuis l'extérieur.
Quelle adresse IP pouvons-nous utiliser pour rendre ce site accessible depuis l'extérieur ? La seule adresse publique dont nous disposons : 1.0.0.254
Comment faire ? Faire croire au monde extérieur que le site web est présent à l'adresse 1.0.0.254. Donc dans le navigateur de Serveur, il faut saisir l'adresse 1.0.0.254. La requête va arriver jusqu'au routeur, mais le routeur n'a pas de serveur web en écoute, il faut trouver un moyen de lui dire ; " si tu reçois une demande http (port 80) à ton adresse (1.0.0.254), il faut que tu fasses suivre la demande à SrvLAN (192.168.1.2) avec le même port (80)". C'est ce qui s'appelle du port forwarding (faire suivre le port).
Commandes IOS pour réaliser cette DNAT
Router>enable
Router#configure terminal
Router(config)#ip nat inside source static tcp 192.168.1.2 80 1.0.0.254 80
Router(config)#ip nat outside source static tcp 1.0.0.254 80 192.168.1.2 80
Vérifier que le navigateur du Serveur (WAN) peut accèder au site web de SrvLAN.
Passer en mode simulation avec capture du protocole HTTP uniquement. Depuis le serveur du coté WAN, lancez de nouveau le navigateur et saisir l'adresses du routeur (1.0.0.254). Répondre aux questions suivante ( Test6 )