Télécharger la présentation
La présentation est en train de télécharger. S'il vous plaît, attendez
Publié parAlveré Devos Modifié depuis plus de 10 années
1
routage M6 module réseaux Mars 2003
6
Région PACA www.up.univ-mrs.fr/ www.mediterranee.univ-mrs.fr/ jupiter.u-3mrs.fr/~ www.univ-avignon.fr/ www.unice.fr/ www.univ-tln.fr/ www.dr20.cnrs.fr/ www.inria.fr/Unites/SOPHIA-fra.html www-cad.cea.fr/ www.obs-hp.fr/ www.aix-mrs.iufm.fr/ www.iufm.unice.fr/ www.ac-aix-marseille.fr/ www.ac-nice.fr/
8
une route utv---uk 1 blackdiamond (10.1.1.1) 0 ms 1 ms 0 ms 2 c7200 (192.168.6.2) 1 ms 0 ms 1 ms 3 194.214.66.30 (194.214.66.30) 1 ms 1 ms 2 ms 4 routeur-ft-coeur-toulon (194.214.246.33) 2 ms 1 ms 2 ms 5 routeur-ft-coeur-marseille1 (194.214.68.17) 2 ms 2 ms 2 ms 6 routeur-ft-coeur-marseille2 (194.214.68.2) 3 ms 2 ms 2 ms 7 marseille-a0-1-3.cssi.renater.fr (193.51.181.22) 3 ms 3 ms 3 ms 8 lyon-pos14-0.cssi.renater.fr (193.51.179.221) 8 ms 9 ms 9 ms 9 nri-b-pos5-0.cssi.renater.fr (193.51.179.129) 16 ms 17 ms 17 ms 10 renater.fr1.fr.geant.net (62.40.103.53) 17 ms 17 ms 17 ms 11 fr.uk1.uk.geant.net (62.40.96.90) 23 ms 23 ms 24 ms 12 janet-gw.uk1.uk.geant.net (62.40.103.150) 23 ms 24 ms 23 ms 13 lond-scr3.ja.net (146.97.37.81) 24 ms 23 ms 25 ms 14 po6-0.lond-scr.ja.net (146.97.33.9) 23 ms 24 ms 23 ms 15 po0-0.cambridge-bar.ja.net (146.97.35.10) 28 ms 28 ms 28 ms 16 route-enet-3.cam.ac.uk (146.97.40.50) 28 ms 27 ms 28 ms 17 route-cent-3.cam.ac.uk (192.153.213.194) 28 ms 28 ms 28 ms 18 aquila.csx.cam.ac.uk (131.111.8.74) 28 ms 28 ms 28 ms
9
routage Les réseaux sont reliés entre eux par des routeurs caractérisés par plusieurs interfaces. Les routeurs disposent de plusieurs adresses ip et plusieurs adresses physiques : 1 adresse physique par interface 1 adresse ip par réseau. Ils sont chargés de lacheminement des paquets ip.
10
table de routage Les routeurs décident de la route à faire suivre aux paquets ip par consultation dune table de routage. La maintenance des tables de routages est une opération fondamentale. Elle peut être manuelle, statique ou dynamique.
11
datagramme IP @destination@sourceIP0800CRC longueurV identification checksum tos offset TTLproto. adresse IP source adresse IP destination options L données MD0
12
112.23.0.0 12.1.0.0132.12.0.0 21.64.0.0 12.1.9.18 21.1.7.12 21.128.0.0 RA RB 112.23.1.1 21.1.1.2 12.1.0.1 112.23.1.2 table de routage de RB destinationrouteur 21.0.0.0112.23.1.1 0.0.0.012.1.1.1 21.64.7.12 table de routage réseauinterface 21.128.0.0eth0 21.64.0.0eth1
13
méthode de routage extraire adresse IP destinataire adresse locale le paquet est arrivé destination accessible utiliser la table de routage pour déterminer le prochain routeur déterminer adresse physique et transmettre sur linterface adéquat
14
route par défaut La classe dune adresse IP permet de déterminer la partie réseau dune adresse De la table de routage on peut déduire trois types de routes : une route explicite vers lhôte une route vers un réseau une route par défaut Cl.minmaxtaille A01271 B1281912 C1922233 hôtes et routeurs utilisent la même méthode de routage.
15
fichiers et commandes /etc/networks : nom de réseau route : manipulation des tables de routage ifconfig : configuration des interfaces netstat : état des connexions réseaux iptables: manipulation des adresses filtrage des paquets
16
un exemple pratique internet modem interfaces : l0 et eth0
17
% ifconfig eth0 eth0 Lien encap:Ethernet HWaddr 00:60:97:71:69:A4 inet adr:10.1.65.2 Bcast:10.1.255.255 Masque:255.255.0.0 UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 Paquets Reçus:0 erreurs:0 jetés:0 débordements:0 trames:0 Paquets transmis:0 erreurs:0 jetés:0 débordements:0 carrier:0 collisions:0 lg file transmission:100 Interruption:5 Adresse de base:0x280 Canal DMA:3 % route Table de routage IP du noyau Destination Passerelle Genmask Indic Metric Ref Use Iface 10.1.0.0 * 255.255.0.0 U 0 0 0 eth0 127.0.0.0 * 255.0.0.0 U 0 0 0 lo
18
exemple pratique (suite) internet modem interfaces : l0 et eth0 ppp0
19
% ifconfig ppp0 ppp0 Lien encap:Protocole Point-à-Point inet adr:62.147.79.194 P-t-P:192.168.254.254 Masque:255.255.255.255 UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1 Paquets Reçus:20 erreurs:0 jetés:0 débordements:0 trames:0 Paquets transmis:21 erreurs:0 jetés:0 débordements:0 carrier:0 collisions:0 lg file transmission:3 % route Table de routage IP du noyau Destination Passerelle Genmask Indic Metric Ref Use Iface 192.168.254.254 * 255.255.255.255 UH 0 0 0 ppp0 10.1.0.0 * 255.255.0.0 U 0 0 0 eth0 127.0.0.0 * 255.0.0.0 U 0 0 0 lo default 192.168.254.254 0.0.0.0 UG 0 0 0 ppp0 % ping rhodes.univ-tln.fr PING rhodes.univ-tln.fr (193.49.96.1) from 62.147.79.194 : 56(84) bytes of data. From 194.214.66.29: Packet filtered
20
internet modem 10.1.0.0 10.1.65.2 10.1.65.1 62.147.79.194 Il faut autoriser le transfert des paquets entre les interfaces ppp0 et eth0
21
routage niveau hôte ROUTAGE PROCESSUS PRE-ROUTAGE POST-ROUTAGE TRANSFERT ROUTAGE ENTREE SORTIE
22
chaines de filtrage INPUT OUTPUT FORWARD Un ensemble de règles pour filtrer les paquets
23
chaines de translation PREROUTING POSTEROUTING OUTPUT Un ensemble de règles pour « changer » les adresses ip source et destination
24
@ TRANSLATION La connexion du réseau privé au réseau public est réalisée grâce aux translations dadresses socket sourceport socket destin. passerelle
25
NAT La translation de source permet aux hôtes du réseau privé de sortir vers lextérieur. La translation dadresse de destination permet aux hôtes Internet de rentrer dans le réseau privé.
26
$ /sbin/ipchains -A forward -s 10.1.74.0/24 -j MASQ % route Table de routage IP du noyau Destination Passerelle Genmask Indic Metric Ref Use Iface 172.16.173.0 * 255.255.255.0 U 0 0 0 vmnet1 10.1.0.0 * 255.255.0.0 U 0 0 0 eth0 127.0.0.0 * 255.0.0.0 U 0 0 0 lo default 10.1.65.2 0.0.0.0 UG 0 0 0 eth0 $ netstat -M Entrées IP Masquerade prot expire source destination ports icmp 0:29.44 10.1.74.93 rhodes.univ-tln.fr 7174 -> 2048 (*) % route add default gw 10.1.65.2 % ping rhodes PING rhodes.univ-tln.fr (193.49.96.1) from 62.147.79.194 : 56(84) bytes of data. From 194.214.66.29: Packet filtered
27
iptables $ iptables –F vider les chaines $ iptables –X destruction des chaines utilisateurs $ iptables –t nat –F idem $ iptables –t nat –X toutes les chaines sont vides avec la règle ACCEPT $ iptables –t nat –A POSTROUTING –s 10.1.65.0/24 –o ppp0 –j MASQUERADE $echo 1 > /proc/sys/net/ipv4/ip_forward la route vers internet est ouverte
28
sécurité Dans létat le réseau local est ouvert sur Internet, niveau sécurité faible. Iptables permet de construire des règles de filtrages limiter les accès et augmenter la sécurité.
29
on ferme toutes les portes $iptables –F vider les chaines $iptables –X suppimer les chaines $iptables –P INPUT DROP $iptables –P OUTPUT DROP $iptables –P FORWARD DROP plus rien ne passe !
30
$iptables –t nat –F vider les chaines $iptables –t nat –X suppimer les chaines $iptables -t nat -P PREROUTING ACCEPT $iptables –t nat –P POSTROUTING ACCEPT $iptables –t nat –P OUTPUT ACCEPT À ce stade, rien ne passe.
31
Il faut ouvrir quelques portes $iptables –A INPUT –i lo –j ACCEPT $iptables –A OUTPUT –o lo –j ACCEPT idem avec eth ? $iptables –A INPUT –i etho –j ACCEPT $iptables –A OUTPUT –o etho –j ACCEPT Le réseau local est toujours coupé du monde car la chaîne FORWARD ne laisse rien passer.
32
masquage $iptables -t nat -A POSTROUTING –s 10.1.65.0/24 –o ppp0 -j MASQUERADE À ce stade, rien ne passe. $iptables –A FORWARD –i etho –o ppp0 -m state –state NEW, ESTABLISHED, RELATED –j ACCEPT $iptables –A FORWARD –i ppp0 –o etho -m state –state ESTABLISHED, RELATED –j ACCEPT
33
protocoles de routage table de routage de destinationrouteur
34
protocoles de routage
35
routage interne
36
routage externe
Présentations similaires
© 2024 SlidePlayer.fr Inc.
All rights reserved.