Re: nat ou routage ?

Startseite

Nachricht beantworten
Autor: Arnaud Chiaberge
Datum:  
To: Henry-Pascal ELDIN, guilde
Betreff: Re: nat ou routage ?
----- Original Message -----
From: "Henry-Pascal ELDIN" <Henry-Pascal.Eldin@???>
To: <guilde@???>
Sent: Friday, January 04, 2002 12:18 PM
Subject: Re: nat ou routage ?


> > Si ta DMZ possede des IP publiques, tu n'es en effet pas oblige de faire

du
> > NAT sur ta passerelle, du routage suffit. En revanche, les informations

de
> > routage permettant de savoir que pour atteindre ta DMZ il faut passer

par
> > l'IP externe de ta passerelle (je parle des paquets de retour, ceux qui
> > viennent du net et qui vont sur ta DMZ), doivent etre connues au moins

du
> > premier routeur apres ta passerelle. Je suppose que tu es dans le cas
> > suivant:
> >
> > - DMZ ------- Passerelle ------- Routeur A (de ton provider)
> >
> > Dans ce cas, si tu ne fais que du routage sur ta passerelle ET que les

IP de
> > ta DMZ sont publiques, alors le routeur 'A' (au moins lui) doit savoir

que
> > pour atteindre les IP de ta DMZ, il doit faire suivre a la passerelle.
>
> C'est pas obligatoire. Il est possible en configurant le firewall avec

l'option
> bridge d'éviter de diffuser les routages. Même, la machine n'a pas
> d'adresses Ip ! Invisible depuis l'internet ou la dmz d'ailleurs !


Effectivement, en utilisant la fonction de bridging de la passerelle, le
routeur n'a pas besoin de savoir que les IP de la DMZ sont derriere la
passerelle, puisque chaque segment ethernet semblera apparaitre comme un
seul segment (sans 'hop' de routage au mileu).
Neanmoins, un routage minimal est necessaire : le subnet destination (celui
dont fait parti l'IP publique de la passerelle) doit etre connu partout,
ensuite le routeur emet simplement le paquet sur son interface, sans se
douter que pour atteindre sa destination les paquets seront "bridges" par la
passerelle.

Cependant, et apres une discussion privee avec Pascal, cette hypothese de ma
part concernant sa configuration n'etait pas la bonne puisque sa DMZ est en
fait constituee d'IP privees et que la passerelle fait donc du port
forwarding (DNAT quoi)...

Arno