Autor: Arnaud Chiaberge Datum: To: Henry-Pascal ELDIN, guilde Betreff: Re: nat ou routage ?
----- Original Message -----
From: "Henry-Pascal ELDIN" <Henry-Pascal.Eldin@???>
To: <guilde@???>
Sent: Friday, January 04, 2002 12:18 PM
Subject: Re: nat ou routage ?
> > Si ta DMZ possede des IP publiques, tu n'es en effet pas oblige de faire du > > NAT sur ta passerelle, du routage suffit. En revanche, les informations de > > routage permettant de savoir que pour atteindre ta DMZ il faut passer par > > l'IP externe de ta passerelle (je parle des paquets de retour, ceux qui
> > viennent du net et qui vont sur ta DMZ), doivent etre connues au moins du > > premier routeur apres ta passerelle. Je suppose que tu es dans le cas
> > suivant:
> >
> > - DMZ ------- Passerelle ------- Routeur A (de ton provider)
> >
> > Dans ce cas, si tu ne fais que du routage sur ta passerelle ET que les IP de > > ta DMZ sont publiques, alors le routeur 'A' (au moins lui) doit savoir que > > pour atteindre les IP de ta DMZ, il doit faire suivre a la passerelle.
>
> C'est pas obligatoire. Il est possible en configurant le firewall avec l'option > bridge d'éviter de diffuser les routages. Même, la machine n'a pas
> d'adresses Ip ! Invisible depuis l'internet ou la dmz d'ailleurs !
Effectivement, en utilisant la fonction de bridging de la passerelle, le
routeur n'a pas besoin de savoir que les IP de la DMZ sont derriere la
passerelle, puisque chaque segment ethernet semblera apparaitre comme un
seul segment (sans 'hop' de routage au mileu).
Neanmoins, un routage minimal est necessaire : le subnet destination (celui
dont fait parti l'IP publique de la passerelle) doit etre connu partout,
ensuite le routeur emet simplement le paquet sur son interface, sans se
douter que pour atteindre sa destination les paquets seront "bridges" par la
passerelle.
Cependant, et apres une discussion privee avec Pascal, cette hypothese de ma
part concernant sa configuration n'etait pas la bonne puisque sa DMZ est en
fait constituee d'IP privees et que la passerelle fait donc du port
forwarding (DNAT quoi)...