Discussion :

[Furious68]

Salut !

J'ai relié deux réseaux avec un routeur cisco : 8.0.0.0/8 et 192.168.1.0/24.

La communication fonctionne , est ce normal sachant que 8.0.0.0 est une adresse publique ?

Je croyais que les adresses privés ne pouvaient pas être routé vers les publiques et vis-versa.

En faite je suis entrain de testé les fonctionnaltés PAT, et mon serveur sur le réseau publique arrive à pingé mes machines locales... hors ce n'est pas ce qu'on veut :/

Est ce qu'on peut désactiver cette compatibilité ?

[Invité]

J'ai relié deux réseaux avec un routeur cisco : 8.0.0.0/8 et 192.168.1.0/24.

La communication fonctionne , est ce normal sachant que 8.0.0.0 est une adresse publique ?

Adresse publique ou non, le routeur Cisco voit 2 réseaux IP, alors il route, c'est son job

J'ai cru comprendre qu'il existe des routeurs qui sont influencés par le fait que des réseaux soient RFC1918 ou non. Pour moi, ça n'est pas conforme à ce que j'attendrais d'un routeur...

mon serveur sur le réseau publique arrive à pingé mes machines locales... hors ce n'est pas ce qu'on veut :/

Est ce qu'on peut désactiver cette compatibilité ?

Là, tu commences à parler de sécurité. Par défaut, un routeur Cisco, c'est un routeur. Il va router ce qui est routable (ICMP dans ton cas).

A partir du moment que tu exposes un réseau public, peut-être te faudrait-il un firewall, tu crois pas ?

Concernant ton problème, il suffit de configurer une access-list sur le Cisco pour bloquer les ICMP Echo entrants sur ton réseau public.

Steph

[Furious68]

J'ai cru comprendre qu'il existe des routeurs qui sont influencés par le fait que des réseaux soient RFC1918 ou non. Pour moi, ça n'est pas conforme à ce que j'attendrais d'un routeur...

C'est ce que fait nos box non ?


Si toutes les adresses privés seraient routable sur l'internet, il y aurait des doublons d'adresses dans les tables de routage :/

Si on doit compter sur tous les admins pour qu'il mettent en place une AL, ce risque serai important.

tu es d'accord ?

[sevyc64]

C'est exact. Les box "Grand public" d'Orange, SFR, Free .... possèdent un routeur très simple qui à seulement 2 port, un port LAN et un port WAN.

Elles sont censées respecter la RFC1918 (c'est en tout cas ce que prétendent les fabricants). Aucun paquet, avec pour destination, une adresse privée ne sera jamais routé sur le pour WAN (en fait les paquets à destination d'une @ privée sont ignorés sauf ceux à destination de la box elle-même). De même tous les paquets reçus sur le port WAN en provenance d'@ privée sont aussi ignorés.

Ces mêmes box, théoriquement, ignorent aussi (ne route pas) tout paquet en provenance du LAN et avec pour @ de destination, l'@ publique (du WAN donc) de la box. C'est pour cette raison que lorsque tu veux tester l'accès à un service web sur un poste de LAN, depuis internet, il faut le faire soit depuis un poste réellement sur internet (voisin, bureau, ...) soit passer par un proxy sur internet pour que la box voie bien le paquet arrivé depuis le port WAN et non pas depuis le port LAN

[Furious68]

OK !

Alors pourquoi dans mon cas mon routeur route ^^ ?

il faut en prendre un routeur spéciale ? ou alors il detecte que mon interface publique n'est pas vraiment sur internet ? ou alors comme c'est du cisco on doit faire une AL pour faire compliqué.

[sevyc64]

Attention, moi je en parle que des box, et encore des box françaises, je ne sais pas si elles fonctionnent toutes pareil.

Une box est un appareil complexe constitué d'un modem adsl, d'un routeur simpliste à 2 ports seulement, éventuellement d'un switch, et optionnellement divers autres services annexes.

Un des ports du routeur (celui appelé WAN) est obligatoirement, et ne peut-être connecté qu'à Internet, donc réseau public avec @ip publique. L'autre port ne peut être connecté (en théorie) qu'à un réseau privé, donc normalement des @IP privées.
Dans cette configuration, il est aisé d'appliquer la RFC1918.


Dans le cas d'un routeur plus généraliste, on ne sais pas à l'avance l'utilisation qui sera faite de chaque port. Plusieurs ports peuvent être affecté, chacun à des réseaux privés.

Plusieurs possibilités :
- le routeur refuse de router les @ip privées en dehors de leur propre port. (il doit pas en exister beaucoup)
- le routeur ne route pas les paquets vers des @ip privées sur les ports associés à un réseau d'@ip publique
- le routeur laisse l'utilisateur définir ses propres routes (le plus probable).

Ensuite c'est toi qui défini clairement tes propres routes. Quant aux routes non-définies, 2 choix, ou elles sont bloquées par le routeur, ou le routeur diffuse sur tous les ports sauf le port source. Cela se configure normalement dans le routeur.
Mais là, je laisse IP_Steph mieux t'expliquer si nécessaire, moi je suis novice en la matière, je maitrise pas trop encore le sujet .

[Invité]

OK !

Alors pourquoi dans mon cas mon routeur route ^^ ?

il faut en prendre un routeur spéciale ?

Il route tout simplement parce qu'il s'en fiche de savoir qu'une interface est sur un réseau privé ou public. Il a deux réseaux 8.0.0.0/8 et 192.168.1.0/24 donc il route entre les 2.

ou alors comme c'est du cisco on doit faire une AL pour faire compliqué.

Comme j'ai dit dans un message précédent, à partir du moment où tu exposes des ressources, il faudrait raisonner en terme de sécurité.

Oui, le ping passe entre les 2 réseaux, c'est tout à fait normal. Mais un routeur Cisco, c'est pas non plus un firewall

D'ailleurs, quels sont tes objectifs ? C'est une maquette ? Pour faire quoi au juste ?

Steph

[Furious68]

Oui, je fais juste des testes sur les fonctionalités du nat, j'ai mis en place de l'overload et du pat static pour acceder a un serveur web depuis l'exterieur via le port 90 (pourquoi 90 ?, juste comme ca ^^ ).


Donc pour simuler le nat comme sur une box j'ai fait l'ACL100, je sais pas si c'est la meilleure solution, d'après vous ?

Comme ca aucune connexion ne peut être initié depuis l'exterieur, sauf avec les machines désignés par PAT statique, ici mon serveur web par http://8.255.255.254:90

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
interface FastEthernet0/0
 ip address 8.255.255.254 255.0.0.0
 ip access-group 100 in
 ip nat outside
 duplex auto
 speed auto
!
interface FastEthernet0/1
 ip address 192.168.1.254 255.255.255.0
 ip nat inside
 duplex auto
 speed auto


ip nat inside source list 1 interface FastEthernet0/0 overload
ip nat inside source static tcp 192.168.1.50 80 8.255.255.254 90 
ip classless
!
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 100 deny ip any 192.168.1.0 0.0.0.255
access-list 100 permit ip any host 8.255.255.254

[Invité]

Donc pour simuler le nat comme sur une box j'ai fait l'ACL100, je sais pas si c'est la meilleure solution, d'après vous ?

La configuration du Cisco me semble correcte, bon travail

Steph

[Furious68]

Ok merci à tous les deux