NAT confusion

NAT confusion - Sécurité - Systèmes & Réseaux Pro

Marsh Posté le 28-05-2008 à 22:11:09    

Bonsoir,  
 
J'ai d'abord posé ma question dans le forum non-pro, mais peu de réponses m'ont été renvoyées. Alors, sur conseil d'un collègue du forum, je décide de faire appel à vos lumières.
 
Je recherche un firewall hardware pour ma société. Dans la plupart des datasheets, je vois marquer qu'il y a differents modes:1:1, 1:many, many:many, many:1. J'ai fait pas mal de recherche sur NAT, Cependant je ne comprends pas toujours leur possible utilisation.  
 
X:Y signifie que X est une/pls adresse privée que l'on souhaite mapper sur Y une/pls adresse publique ? Est ce toujours dans ce sens du privé vers le public? ou est ce que NAT est aussi utilisé pour mapper une adresse publique vers une ou plusieurs adresses privées (ce que je réferre plutôt à la fonction port forwarding des routeurs)
 
1:1 correspond au static NAT qui map une adresse privée à une adresse publique de façon fixe. Ce mode considère que NAT change l'adresse IP source d'un paquet sortant avec l'adresse IP publique et en retour convertit l'adresse IP dest du paquet rentrant avec l'adresse privée. Est ce que l'on considère que NAT accepte un paquet entrant (du public au privé) seulement s'il correspond à une réponse à une requête interne ou est ce qu'il est possible que n'importe qui de l'extérieur accède à l'adresse interne?
 
many:1 permet à plusieurs adresses privées de partager une unique adresse publique. Est ce que l'on sous entend qu' 1 seul accès à internet à la fois est possible et que l'hote doit attendre que NAT cloture le mapping avec l'autre hôte? ou sous-entend on qu'on utilise PAT pour permettre à plusieurs hote d'avoir la meme adresse mais avec un port different?
 
many:many a le même fonctionnement que many:1 sauf que plusieurs adresses publiques sont allouées ce qui permet un meilleur rendement. Le nombre de connection simultanée est limité au nombre d'adresses publiques disponibles.  
 
1:many ???? Si cette notation se lit : "mapper une adresse privée vers plusieurs adresses publiques", je ne comprends pas son utilisation!!  
si par contre, ça se lit dans l'autre sens : "mapper une adresse publique vers plusieurs adresses privées" alors son utilité est évident: load balancing.  
Ca permet notamment d'avoir plusieurs servers (identiques en contenu) localisés à différentes adresses (normal lol), mais dont l'accès externe via l'adresse public est réparti sur les differents servers.  
 
Mon problème est que je ne comprends pas la logique de lecture de cette notation. Je comprend que ce genre de question n'est pas des plus intéressante puisque théorique, mais comment passer à la pratique si on ne maitrise pas la théorie.  
 
 
CISCO définit la notion de static NAT, Dynamic NAT et Overloading NAT (PAT).  
SonicWALL définit 1:1, 1:many, many:1, many:many, flexible NAT (overlappinp IPs), transparent mode  
http://www.vocal.com/nat.html définit Full Cone NAT, restricted cone NAT, port restricted cone NAT, et symmetric NAT  
 
Je pensais que static NAT pouvait s’assimiler au mode 1:1, mais watchguard datasheet du Firebox X550 comporte dynamic NAT, static NAT et One to One NAT, ce qui prouve qu'une difference existe entre 1:1 et static NAT.
   
Quelqu'un serait-il capable de donner une différence claire entre tous ces modes??
Merci

Reply

Marsh Posté le 28-05-2008 à 22:11:09   

Reply

Marsh Posté le 28-05-2008 à 22:46:10    

Citation :

Je pensais que static NAT pouvait s’assimiler au mode 1:1, mais watchguard datasheet du Firebox X550 comporte dynamic NAT, static NAT et One to One NAT, ce qui prouve qu'une difference existe entre 1:1 et static NAT.


 
la partie en spoiler est fausse finalement (après édit). Je la laisse pour ne pas fausser les réponses pré-édit.

Spoiler :

alors le static, c'est la capacité d'être contacté de l'extérieur. Par exemple, un client envoie un paquet (hors contexte) vers une IP publique. Ton FW (en mode un pour un) change l'adresse destination et forward le paquet vers ton adresse privée
 
Avec du dynamique, appelé hide sur les checkpoints, le FW ne forward le paquet que si un contexte a déjà été créé, i.e. si ton pc en privé a déjà contacté le client.


 
le mode overload, c'est la capacité à avoir plus d'adresses privées que d'adresses publiques.
 
 

Spoiler :

Normalement, ces trois modes peuvent être combinés avec les 4 cas que tu as définis au dessus (1 pour 1, 1 pour plusieurs, etc..). Enfin bien sur, certains trucs coincent : de l'overload avec du 1 pour 1, ça va pas marcher  :D


Message édité par budd le 28-05-2008 à 23:44:35
Reply

Marsh Posté le 28-05-2008 à 23:32:00    

Merci pour ta réponse.
 

Citation :


alors le static, c'est la capacité d'être contacté de l'extérieur. Par exemple, un client envoie un paquet (hors contexte) vers une IP publique. Ton FW (en mode un pour un) change l'adresse destination et forward le paquet vers ton adresse privée


 
Est ce que ça veut dire que l'adresse privé ainsi mappé à l'adresse public ne peut utiliser ce lien pour internet. Est ce un lien uniquement réservé à l'accès externe?
 

Citation :

Avec du dynamique, appelé hide sur les checkpoints, le FW ne forward le paquet que si un contexte a déjà été créé, i.e. si ton pc en privé a déjà contacté le client.


 
un stateful firewall a cette fonction de regarder si un paquet appartient bien à une session préalablement établie. Je ne pense pas que ce soit la fonction de NAT. La litérature dit qu'il s'agit de mapper un client voulant accéder à internet vers la prochaine IP public disponible. Contrairement au static, l'allocation de l'adresse est dynamique. Dès que la connection est finis, l'adresse public est libéré et disponible pour une autre connection ; ce qui n'est pas le cas du static. Cette vision implique de regarder le scenario côté interne et non externe comme tu le fais.  
 

Citation :

le mode overload, c'est la capacité à avoir plus d'adresses privées que d'adresses publiques.


Oui et c'est ainsi réalisé par les services de PAT, ce qui donne du NAPT.
 

Citation :

Normalement, ces trois modes peuvent être combinés avec les 4 cas que tu as définis au dessus (1 pour 1, 1 pour plusieurs, etc..). Enfin bien sur, certains trucs coincent : de l'overload avec du 1 pour 1, ça va pas marcher


 
Bon si je comprends bien la difference entre static et 1:1 est le fait que static permet juste l'accès à distance et est définit pour les paquet inbound seulement(et ne permet pas à l'hote privé de se connecter à internet) alors que le 1:1 est le fait de permettre la communication de chaque élément du réseau avec une adresse public (dans la limite des adresses disponibles) Est ce que 1:1 considère un mapping dynamique pour autant ou un adressage static.
 
Encore beaucoup de questions, n'est-ce-pas?

Reply

Marsh Posté le 28-05-2008 à 23:41:09    

ben tu me mets le doute du coup, j'ai peut-être raconté des bêtises au niveau static / dynamique
 
voici le vrai truc ((c) cisco)

Citation :

static NAT – Mapping an unregistered IP address to a registered IP address on a one-to-one basis. Particularly useful when a device needs to be accessible from outside the network.
In static NAT, the computer with the IP address of 192.168.32.10 will always translate to 213.18.123.110
 
Dynamic NAT – Maps an unregistered IP address to a registered IP address from a group of registered IP addresses. Dynamic NAT also establishes a one-to-one mapping between unregistered and registered IP address, but the mapping could vary depending on the registered address available in the pool, at the time of communication.
In dynamic NAT, the computer with the IP address of 192.168.32.10 will translate to the first available address in the range from 213.18.123.100 to 213.18.123.150


 
désolé pour la fausse info. Pour ma défense, j'utilise un firewall checkpoint au boulot et static n'a pas le même sens (enfin si mais ça porte à confusion)  :hello:
 
oublie aussi ma prose sur la partie combinaison  :D
 
la meilleur solution est encore de regarder la doc de chaque constructeur directement.


Message édité par budd le 28-05-2008 à 23:48:32
Reply

Marsh Posté le 29-05-2008 à 00:29:12    

Merci pour ce raffraichissement, les sources ont l'avantage d'être sûre. Mais j'avais assez bien compris cette partie. Ma vrai difficulté est la notation X to Y que j'assimile à privée to public peut être faussement d'ailleurs.

 

1 le mode 1 to 1 serait la connection une à une d'une adresse privée à ne adresse public
2 le mode 1 to many serait la connection d'une adresse privée vers plusieurs adresses publics (y a t'il vraiment une application plausible de ce schéma??)
3 le mode Many to one serait la connection de plusieurs clients privés sur une unique adresse grâce à PAT
4 le mode Many to Many une combinaison de 2 et 3.

 

Une alternative penser X to Y applicable indifféremment en inbound ou outbound : Réseau Privé ---(outbound)Firewall(inbound)--- Internet/Réseau privé
1 le mode 1 to 1 en inbound permet l'accès à distance à un server via une adresse public qui lui est adressé de manière static (pas besoin de port forwarder)
1bis le mode 1 to 1 en outbound sans doute peu utilisé car pas intéressant (trop gourmand en adresses publiques )
2 le mode 1 to many en inbound pour le load balancing des servers. Une unique adresse publique permet d'accéder au choix à trois quatre servers internes de même contenu. permet de reguler le traffic.
2bis le mode 1 to many en outbound inutilisé car pas d'application possible (Enfin à ma connaissance???)
3 le mode Many to one en inbound consisterait en plusieurs public adresses en sortie du firewall que des utilisateurs externes utiliseraient pour accéder a la meme adresse interne. Un peu tordu comme scenario, mais en y réfléchisant bien, ce pourrait servir à allouer une adresse public différente pour différentes branch Offices et ainsi créer des règles d'accès plus souples.
3bis le mode Many to one en outbound representerait le NAPT permettant à plusieurs utilisateurs internes à partager la meme adresse public via PAT
4 serait un mix de 2/3 et 2bis/3bis

 

Bon tout ceci n'est que pur supposition. J'aimerais vraiment l'avis d'un constructeur ou d'un expert en firewall functionalités. N'ayant que un regard théorique sur la question, j'aimerais un regard plus pratique sur la question me disant ce que chaque mode me permet de réaliser concrètement, quels avantages ils apportent etc... C'est vraiment important pour moi de bien comprendre ces notions avant d'acheter quelconque firewall.

 

Merci


Message édité par lipaika le 29-05-2008 à 10:14:36
Reply

Marsh Posté le 29-05-2008 à 12:10:31    

Bonjour,  
 
Y a t'il parmi vous des personnes spécialiste des firewalls (constructeurs, vendeurs) qui pourrait m'expliquer les notations utilisées pour NAT dans les différentes datasheets de produit?? 1:1, 1:many, many:1, many:many. Quels sont les utilisations typiques que chacun de ces modes NAT apportent concrètement?  
 
Merci

Reply

Marsh Posté le 31-05-2008 à 13:01:43    

Bonjour,  
 
Je m'acharne peut-être un peu sur ce topic, mais je n'ai pour l'heure pas trouvé de définition cohérente aux notations 1:1, 1:many, many:1, many:many...
Quelles sont leur utilisations (avantages) en entreprise?
 
Par ailleurs, les modes Full Cone NAT, restricted cone NAT, port restricted cone NAT, et symmetric NAT.  
sont-ils inhérent au NAT-Traversal (pour pouvoir utiliser les applications en tps réel)?
 
Merci
 

Reply

Marsh Posté le 02-06-2008 à 02:14:27    

utilisations:
1:1 prends le cas d'un entreprise plus grande que la PME du coins et qui a un pool d'IP (au hazard, IBM). Ca permet de dire : ce serveur de ma DMZ, avec son IP privée a.a.a.a, il est connu sur internet avec l'IP publique x.x.x.x. Et ce que ce soit en entrée, en sortie ou autre, et pour n'importe quel port (pour simplifier, parce qu'ensuite on peut encore jouer, mais bon ...)
1:many, n'existe pas en tant que tel.
many:1 : nat traditionnel, fait par les particuliers.
many:many : je pense que c'est la définition de pool d'IP publiques pour faire la même chose que l'utilisation précédednte. En effet, dans le cas précédent, tu est limité à 65000 connexions actives pour tous tes clients. En créant un pool, tu passes à n x 65000.

Reply

Marsh Posté le 02-06-2008 à 13:51:59    

trictrac a écrit :

utilisations:
1:many, n'existe pas en tant que tel.

 


Merci pour cette réponse. Mais pourquoi cette notation figure-t'elle dans les datasheets si elle ne correspond à rien?? Quelqu'un serait-il capable de donner une explication? Quelle application plausible pour le 1:many??


Message édité par lipaika le 02-06-2008 à 13:53:43
Reply

Marsh Posté le 04-06-2008 à 23:23:47    

toujours personne pour répondre à ma question???

Reply

Marsh Posté le 04-06-2008 à 23:23:47   

Reply

Marsh Posté le 19-08-2008 à 20:22:30    

Je suis toujours avec mon interrogation quoi est quoi:
 
J'ai ma propre idée, mais je veux confirmation:
 
1:1   1 adresse privée pour 1 adresse public à la fois (Exemple : Static et Dynamic) PAS DE TRANSLATION DE PORT
 
1:many 1 addresse public adresse pour plusieurs adresses privée NAPT
 
Many:many   plusieurs privées pour plusieurs public  Dynamic NAPT, Static
 
Many:1 Plusieurs privées pour 1 public   Load Balancing
 

Reply

Marsh Posté le 19-08-2008 à 21:34:45    

lipaika a écrit :


1:many 1 addresse public adresse pour plusieurs adresses privée NAPT
Many:1 Plusieurs privées pour 1 public   Load Balancing


difference entre 1 public pour plusieurs privées, et plusierus privées pour une publique ??

Message cité 1 fois
Message édité par trictrac le 19-08-2008 à 21:36:23
Reply

Marsh Posté le 19-08-2008 à 22:49:56    

trictrac a écrit :


difference entre 1 public pour plusieurs privées, et plusierus privées pour une publique ??


 
oui pardon:
Je voulais dire  
 
 
1:many 1 addresse public adresse pour plusieurs adresses privée NAPT
Many:1 Plusieurs privée (ou 1public utilisé par plusieurs privées) pour 1 privée   Load Balancing

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed