Traduction d'adresses: - DNAT traduction d'adresses de destination (port mapping)

9. - DNAT traduction d'adresses de destination (port mapping)

Introduction

La DNAT avec port forwarding permet de donner accès à des serveurs en adressage privé sur un réseau local à partir d'une adresse IP publique (celle de la box).
Il est possible d'atteindre plusieurs serveurs privés à condition que les ports d'écoute soient différents.

Exemple

Réseau privé :

- 192.168.1.1 (serveur web port 80)
- 192.168.1.2 (serveur pop port 110)
- 192.168.1.2 (serveur smtp port 25)

Réseau public :

- 1.0.0.254

Régles DNAT :

- 1.0.0.1 : 80 --> 192.168.1.1 : 80
- 1.0.0.1 : 110 --> 192.168.1.2 : 110
- 1.0.0.1 : 25 --> 192.168.1.2 : 25

Qu'en est-il dans le cas de la présence de deux serveurs web sur le réseau privé ?

Réseau d'étude

Reprendre le réseau étudié plus haut dans ce TP avec la SNAT et la DNAT activées, le compléter pour obtenir le réseau suivant :

Schéma réseau 7

Vérifier que Client peut accéder aux deux sites web internes et que Serveur accède au serveur web maintenant appelé SrvLAN2.

Liaison WAN - LAN (SrvLAN3)

Comment faire pour accéder au serveur 192.168.1.3 depuis l'extérieur ?

On ne peux pas utiliser le couple IP:1.0.0.254, port:80 qui est déjà pris par le premier serveur web interne.
On ne peut pas utiliser une autre adresse IP publique car le routeur n'en possède qu'une.
La seule possibilité qui nous reste est d'utiliser un autre port que le port 80 tout en gardant la même adresse IP publique (1.0.0.254)

Il faut prendre un autre port non utilisé par d'autres serveurs (on ne va prendre 25,53,110). En général on utilise le port 8080 (qui est facile à mémoriser et qui ressemble à 80).

Il faut donc créer la règle DNAT suivante : 1.0.0.254:8080 --> 192.168.1.3:80 (Attention le port 80 du coté LAN ne change pas !)

En vous basant sur les commandes utilisées pour mettre en place la DNAT de l'autre serveur, essayer de mettre en place cette règle et répondre au questionnaire Test8

Remarque : pour tester le bon fonctionnement de la redirection, il faut saisir dans le navigateur de Serveur sur le WAN :

http://1.0.0.254:8080

La page d'accueil du site de SrcLAN3 doit s'afficher.

Cette forme de DNAT avec changement de ports s'appelle le port mapping.