Discussion :

[zehle]

Je ne sais pas si c le bon forum ou pas (je m'excuse d'avance)

J'aurai voulu savoir si c'etait possible de forcer le passage d'un paquet par un routeur particulier.
je m'explique :
par exemple j'envoie un fichier via msn (ce n'est qu'un exemple) vers un pote. le fichier passe par les routeurs suivant :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
1- 10.0.0.2 : routeur ADSL local 
2- 193.95.77.17 : 1er routeur
3- 193.95.77.10 : 2eme routeur 
4- ...

N- ip de mon pote

j'aurai voulu savoir si c'etait possible d'indiquer au paquet de ne pas passé par le second routeur, mai par un autre (exemple 193.95.77.20) qui peut etre joiniable à partir du 1er(193.95.77.17).
je sais pas si je m'exprime bien ou pas.

au fait le probleme, c'est que le second routeur a beaucoup de perte de paquet...
voilà en espérant ayant été assez clair

[Aramis]

Bonjour,

la reponse est "bien sur que non" . Si vous pouviez faire cela, cela irai a l'encontre de pas mal de concepts de communication reseau. La solution serai d'ajouter une route statique vers la destination desiree mais sans acces direct au router cela est impossible. Noramlement, par defaut, les routers etablissent la meilleur route en fonction du delai, de la bande passante disponible ainsi que le nombre de "hop" a traverser avant la destination. Qui plus est, il est tres probable que certains packets prennent un chemin different a chaque fois. Par consequent, j'en conclu que malgre que l'un des routers a beaucoup de "packet drop" celui-ci n'a pas de meilleurs routes a sa disposition ou bien a beaucoup de paquets a router.


HTH

Bonne continuation,

Ar@mi$

[Chrisfr]

Un ingénieur réseau m'avait un jour dit le contraire. J'ai toujours eu des doutes quand à la mythomanie de cette personne mais étant novice en matière de réseau, il m'était difficile de conclure.

Cependant, je trouve que l'absence de cette fonctionalité est bien dommage. En effet, il pourrait être très pratique de de pouvoir joindre "l'adresse privée 192.168.0.4 qui est derrière le routeur à Ip publique 84.xxx.xxx.xxx". Ca ouvrirait pas mal de possibilités.

Chris.

[Aramis]

Bonjour,

Un ingénieur réseau m'avait un jour dit le contraire. J'ai toujours eu des doutes quand à la mythomanie de cette personne mais étant novice en matière de réseau, il m'était difficile de conclure.

Cependant, je trouve que l'absence de cette fonctionalité est bien dommage. En effet, il pourrait être très pratique de de pouvoir joindre "l'adresse privée 192.168.0.4 qui est derrière le routeur à Ip publique 84.xxx.xxx.xxx". Ca ouvrirait pas mal de possibilités.

Chris.

L'ingenieur en question a raison. Il est tout a fait possible de changer la route d'un paquet dynamiquement. Cependant cette decision est prise par les routers qui se trouvent entre les deux parties communiquantes. Evidement, ces decisions sont influencees par les choix fait par les Fournisseurs d'Access. J'insiste sur le fait que les utilisateurs ne peuvent influencer cela, d'ou ma reponse plus haut.

Votre deuxieme paragraphe montre effectivement que vous etes un novice en matiere de reseaux. Tout d'abord vous confondez "load balancing" et "routing" (ce dont je parle ci dessus) et Network Address Translation (NAT = Traduction d'Adresse). Par ailleurs, si vous avez l'ADSL chez vous et que vous etes connecte via un routeur eh bien vous utilisez le NAT en permanence car en "interne" vous utilisez une adresse du style 10.*.*.*, 176.16.*.* ou encore 192.168.*.* et le routeur se charge de vous retransmettre les paquets venant de l'"exterieur" (c-a-d l'Internet).

Rappelez vous que les reseaux sont utilises depuis plus de 20 ans et que deja en 1985 les chercheurs se sont appercu que le nombre d'adresse n'etait pas suffisant et ont mis au point les masques de sous reseaux, Traduction d'adresse, adressage prive et etc. Par consequent, lorsque vous pensez qu'il y a truc "pas fait" ici ou la, renseignez vous, vous verrez que souvent votre probleme a deja un solution

Ar@mi$

[Chrisfr]

Re bonjour

et merci pour les précisions.

Je réalise qu'en plus d'être novice je me suis aussi sans doute mal exprimé. C'est peut être lié.

Ce que l'on m'avait dit à propos du "routage forcé" n'était pas spécifique aux routeurs. En fait, il est compréhensible qu'un routeur puisse forcer une route puisque c'est lui qui en a la charge. Ce n'est jamais qu'une nouvelle route. Non, ce dont on m'avait parlé, c'était de commandes depuis un poste non routeur qui pouvait forcer une route donnée. C'est ça qui me paraîssait suspect.

Cette histoire était liée à un contexte donné, et c'est là que j'ai du mal m'exprimer. Il ne s'agissait pas de routeur Nat, routing et encore moins de load balancing. Certes je suis novice mais quand je parlais de joindre une adresse privée en 192.168... derrière un routeur, je ne parlais pas d'aller sur Internet. Bien sûr qu'il est possible pour un réseau privé de pouvoir accèder à Internet lorsqu'il s'agit de diriger une requette http sortante et de l'aiguiller convenablement au retour vers la bonne machine. Les "flags" dans les trames sont là pour ça.

En locurence, je faisais plutôt référence aux redirections de ports lorsque par exemple, une machine extérieure essaie d'accéder à un serveur FTP. Le routeur, convenablement paramétré, route le port 21 sur la machine qui possède le serveur en question. Par exemple la 192.168.0.4. Car le routeur ne sait pas à priori "qui" la machine extérieure demande puisqu'elle ne peut s'adresser qu'à lui avec l'Ip publique routeur. Les Ip privées étant invisibles.

Sauf, que si je ne m'abuse on ne peut pas avoir deux ftp distincts, sur deux machines différentes et sur le même port 21 depuis un réseau privé. C'est ce point que j'ai du mal à comprendre, voir la fin du message.

C'est là qu'un genre de forçage pourrait être utile. La machine extérieure pourrait alors demander le(s) 192.168.0.x routés par le 84.45.xxx.xxx (routeur en Ip public) pour trouver directement son serveur FTP. Ceci car semble t il (c'est là que je suis novice) on ne peut pas s'adresser directement à une machine en Ip privée puisqu'elle n'est pas visible depuis l'extérieur. Quand je parlais de joignable, de visible, c'était dans ce sens là, pas au niveau du surf Internet.

J'avoue cependant une ombre dans mes connaissances:
- Pourquoi un routeur arrive t il à répartir ses requettes http sortantes et entrantes. Réponse: parce que les trames sont "flaguées" afin d'identifier l'auteur de la requette venant de son réseau privé à l'aller et pour son réseau privé au moment de la réponse.
- Mais dans ce cas, pourquoi une requette entrante pour un serveur FTP hébergé sur le réseau privé, ne pourrait elle pas être "flaguée" elle aussi (par un utilisateur au courant de l'existance du réseau privé caché) et ainsi accèder au serveur FTP directement sur la machine en Ip privé ? (ce qui permettrait au passage de s'affranchir du routage des ports pour cette activité et d'héberger plusieurs serveur FTP). Est ce que ce "flag" (s'il existe ?) constitue le forçage dont me parlait l'ingénieur en question ?

[Aramis]

Re,

Ce que l'on m'avait dit à propos du "routage forcé" n'était pas spécifique aux routeurs. En fait, il est compréhensible qu'un routeur puisse forcer une route puisque c'est lui qui en a la charge. Ce n'est jamais qu'une nouvelle route. Non, ce dont on m'avait parlé, c'était de commandes depuis un poste non routeur qui pouvait forcer une route donnée. C'est ça qui me paraîssait suspect.

Petite correction, un utilisateur alpha ne peut pas dicter quelle route sera emprunter par sa requete/traffic HTTP/MSN messenger ou autre. Et la nous sommes tous d'accord. La question de l'auteur de ce sujet est donc resolue. Par contre, en utilisant TraceRoute vous pouvez specifiez par quelle passerelles passeront les requetes. Mais bon c'est surtout utile en internet et pour les admin. Beaucoup de routeurs sur le net arretent les paquets TraceRoute.

[...] Bien sûr qu'il est possible pour un réseau privé de pouvoir accèder à Internet lorsqu'il s'agit de diriger une requette http sortante et de l'aiguiller convenablement au retour vers la bonne machine. Les "flags" dans les trames sont là pour ça.

Hmm vous semblez oublier que les routeurs ou bien toute machine similaire responsable de l'aiguillage de paquets sur l'Internet ne comprennent pas les termes HTTP, FTP et etc. En fait celles-ci ne comprennent aucune notions/protocoles au dessus de la couche numero 3 du model OSI. Par consequent, cette histoire de FLAGS est incorrecte. Qui plus est la notion de "trame" ne s'applique qu'a la 2eme couche du model OSI, et du coup il n'y pas de "drapeaux" dans une trame. Pour terminer, rappelez vous que le routage sur Internet se passe de la facon suivante:
1- le routeur examine l'adresse de destination
2- le routeur trouve la direction du prochaine HOP
3- le routeur remplace l'adresse MAC de destination avec l'adresse MAC du prochain routeur/HOP
4- On recalcule le CRC et etc.
5- la trame est envoye vers le prochain routeur.
Notez que les adresses IP/Port sont inchanges pendant le transport.

En locurence, je faisais plutôt référence aux redirections de ports lorsque par exemple, une machine extérieure essaie d'accéder à un serveur FTP. Le routeur, convenablement paramétré, route le port 21 sur la machine qui possède le serveur en question.

Avec NAT vous pouvez faire ce que vous voulez. Par exemple:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
ipExtern:portXYZ ---> 192.168.0.4:21 
! ou bien
ipExtern:2001      ---> 192.168.0.4:2001 (serve FTP)

Il n'y vraiment aucune limitation au niveau technique. Un server FTP peut parfaitement fonctionner sur le port 2001. Cependant c'est au niveau de l'accessibilite que sa pose probleme. Cela ne vous jamais arrive de voir dans votre URL http://dummyserver:8080 ? C'est pourtant un server HTTP derrier un NAT mais tout a fait accessible, par contre ce n est une utilisation naturelle

Par exemple la 192.168.0.4. Car le routeur ne sait pas à priori "qui" la machine extérieure demande puisqu'elle ne peut s'adresser qu'à lui avec l'Ip publique routeur. Les Ip privées étant invisibles.

C'est le principe de transparence, tres utile dans le monde de l'infromatique.

Sauf, que si je ne m'abuse on ne peut pas avoir deux ftp distincts, sur deux machines différentes et sur le même port 21 depuis un réseau privé.

1- Ce ne sera jamais le meme port 21 car comme vous l avez mentione il y a 2 machines distinctes
2- C'est le role du DNS d'aider le routeur a determiner a qui la requete est adresse. Par exemple, ftp://mirroir1.mon.domaine.net ftp://mirroir2.mon.domaine.net sont 2 FTPs derriere NAT, votre choix est determine par les noms mirroir1 ou mirroir2.
3- Ca veut dire quoi "depuis un reseaux prive"? Si vous emettez la requete depuis votre reseaux prive alors l'adresse source est change par votre modem/passerelle en adresse publique.

C'est ce point que j'ai du mal à comprendre, voir la fin du message.

C'est là qu'un genre de forçage pourrait être utile. La machine extérieure pourrait alors demander le(s) 192.168.0.x routés par le 84.45.xxx.xxx (routeur en Ip public) pour trouver directement son serveur FTP. Ceci car semble t il (c'est là que je suis novice) on ne peut pas s'adresser directement à une machine en Ip privée puisqu'elle n'est pas visible depuis l'extérieur. Quand je parlais de joignable, de visible, c'était dans ce sens là, pas au niveau du surf Internet.

En gros c'est juste un probleme de DNS la.

J'avoue cependant une ombre dans mes connaissances:
- Pourquoi un routeur arrive t il à répartir ses requettes http sortantes et entrantes. Réponse: parce que les trames sont "flaguées" afin d'identifier l'auteur de la requette venant de son réseau privé à l'aller et pour son réseau privé au moment de la réponse.

Le routeur maintient la liste des communications etablies dans sa memoire RAM. Depuis l'exterieur et quelque soit le nombre de requetes, il n'y a qu'une "seule" entitee.

- Mais dans ce cas, pourquoi une requette entrante pour un serveur FTP hébergé sur le réseau privé, ne pourrait elle pas être "flaguée" elle aussi (par un utilisateur au courant de l'existance du réseau privé caché)

Je ne comprends pas ce que vous voulez dire par flaguee

et ainsi accèder au serveur FTP directement sur la machine en Ip privé ?

j'ai mis en place plusieurs servers derrier un NAT il y a peu de temps. Lorsque je consulte les etats des connexions depuis les serveurs je vois:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
local address      foreign address
192.168.0.3:22   adressePublicdeMonBureau:4253

Par contre de mon poste de travail je vois ce ci:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
local address                                     foreign address
adressePublicdeMonBureau:4253        adresse_de_la_passerelle:2001

Cela montre bien que il n'est pas important pour l'utilisateur de savoir les details de l'implementation des servers qui sont utilises. Si je vous dis que j'heberge DVP.com chez moi, j'utilise donc un systeme avec NAT. Est ce important? Cela change t il la facon dont vous accedez le site? Absolument pas de votre point de vue tout cela est transparent.

(ce qui permettrait au passage de s'affranchir du routage des ports pour cette activité et d'héberger plusieurs serveur FTP).

Comme je viens de le montrer ci dessus:
1- on ne peut pas s'affranchir du "routage de port", pour reprendre votre denomination.
2- c'est la tache des administrateurs de configurer les equipements afin que les details d'implementation n'affectent pas la maniere dont les "clients" utilisent les services.
3- il est tout a fait possible d'heberge plusieurs server FTP dans un reseaux local

Est ce que ce "flag" (s'il existe ?) constitue le forçage dont me parlait l'ingénieur en question ?

Malheureusement, je ne vois pas ce que vous entendez par "flag". Maintenant, je pense qu'il parlait d'une combinaison de requete DNS et de configuration de NAT.

Ar@mi$

[MarcelusWallace12345]

C'est tout à fait possible de faire router ses packets sur internet, même si ceux ci ont beaucoup de chances d'être refusés une fois arrivés sur l'infrastructure de votre provider.
C'est du source-routed , et c'est utile sur les backbones notamment..
Voir http://books.google.fr/books?id=kfw9...ternet&f=false

[Invité]

Salut,

j'aurai voulu savoir si c'etait possible d'indiquer au paquet de ne pas passé par le second routeur, mai par un autre (exemple 193.95.77.20) qui peut etre joiniable à partir du 1er(193.95.77.17).
je sais pas si je m'exprime bien ou pas.

pour un utilisateur lambda, impossible de faire ça à volonté.

Le routage de paquets IP est dit "per hop behavior", et a priori, celui qui émet le paquet n'a aucun contrôle sur le transit jusqu'à la destination. Il n'existe pas de mécanisme explicite qui permette de dire à un paquet IP : "passes par cette gateway plutôt que celle-ci"...

C'est du source-routed , et c'est utile sur les backbones notamment..

De façon générale, oui, le Policy Based Routing est destiné à créer des déviations de "trajectoire" lors d'un transit, mais ça relève toujours de l'autorité administrative en charge des routeurs, et non pas de l'utilisateur qui émet les paquets...

Non, ce dont on m'avait parlé, c'était de commandes depuis un poste non routeur qui pouvait forcer une route donnée.

A moins d'avoir une information qui émane de l'opérateur, je ne connais pas de moyen qui permette de forcer le routage sélectif à volonté. A noter que très souvent, le transit des paquets jusqu'aux backbones est "mono-chemin", donc c'est peine perdue... Puis lorsque le paquet arrive dans les backbones, les en-têtes IP sont resettés (hormis bien sûr les cas particuliers de VPN avec classes de services qui conserveront les champs DSCP par exemple).

Steph

[MarcelusWallace12345]

Un outil comme scapy permet de forger entièrement ses propres paquets tcp ou udp , par exemple.
Maintenant en étant derrière un provider en dsl, même en se débarrassant de la box , (un modem sous firmware openwrt par exemple) , je ne sais pas si orange/free etc, laisseront passer le paquet ou vont le reforger...
Quoiqu'il en soit quelqu'un de connecté directement au net, devrait lui pouvoir envoyer directement ses paquets en source routed, quitte à les voir refuser par 80% des routeurs d'internet...
Il suffit d'acheter un compte shell sur une box unix qui permette ça , yen a même des gratuits , a essayer, la technique utilisée dans le liens googlebook semble intéressante, même si ils ne parlent pas d'échange de données , mais juste de sondes..

[Invité]

La référence que tu cites date de 2005 (et d'ailleurs, les auteurs ne constataient à cette époque que 8% des routeurs qui supportaient le source-routing).

Les attaques source-routées sont des menaces bien connues. Les ISP droppent généralement les paquets avec l'option source-route, ou bien comme je disais dans mon précédent post, certaines gateways effectuent des rewrites.

Steph

[becket]

Je n'ai pas grand chose à ajouter à ce qui a été très justement dit mais je pense avoir compris ce dont il était fait référence lorsqu'il parle de la possibilité de choisir une route.
Lorsque un hote non routeur a plusieurs routeurs dans son réseau, il est possible de d'ajouter une route vers un réseau de destination utilisant un routeur autre que celui qui fait office de passerelle par défaut.

[MarcelusWallace12345]

Je n'ai pas grand chose à ajouter à ce qui a été très justement dit mais je pense avoir compris ce dont il était fait référence lorsqu'il parle de la possibilité de choisir une route.
Lorsque un hote non routeur a plusieurs routeurs dans son réseau, il est possible de d'ajouter une route vers un réseau de destination utilisant un routeur autre que celui qui fait office de passerelle par défaut.

Non pas du tout, c'est juste qu'un paquet ip peut contenir des informations demandant à se faire router dans certaines conditions ,
voir la description du datagramme ip , et celui des fameuses options => http://www.networksorcery.com/enp/pr.../option009.htm , http://www.tcpipguide.com/free/t_IPD...eralFormat.htm

Donc vu qu'on peut forger ses propres paquets , avec un outil comme scapy ou directement en codant en c , l'information sera transmises sur internet , et sur des routeurs qui sont source-routed , cette option sera lue et utilisée (dans moins de 8% des cas , en étant connecté hors provider dsl).

Voilà

[Invité]

Donc vu qu'on peut forger ses propres paquets , avec un outil comme scapy ou directement en codant en c , l'information sera transmises sur internet , et sur des routeurs qui sont source-routed , cette option sera lue et utilisée (dans moins de 8% des cas , en étant connecté hors provider dsl).

Oui, ça peut marcher dans un réseau privé...
Mais dans un nuage ISP, très très peu de chances. Le 'no ip source-route' est une recommandation basique ISO27001.

Steph