NAT et Plusieurs Réseaux

Le
Nathanaël
Bonjour,

Me voilà confronté à un soucis. Il se trouve que j'ai plusieurs rése=
au
que l'on appellera "A", "B", "C" et "Principal". Il m'est demandé de
pouvoir acceder aux serveurs et services Citrix se trouvant sur les
reseaux "A", "B" et "C" à partir du reseau "Principal". J'avais opté
pour du simple routage, mais il se trouve que les responsables des
reseaux "A", "B" et "C" refusent de modifier les configurations de
leurs Firewalls pour autoriser les adresses du reseau "Principal" à y
acceder. Ce que je pensais donc ça serait de faire du NAT, c'est à
dire translater l'adresse IP "Principal" en "A" , "B" ou "C" où là les
adresses IP serrait dans la plage d'ip autorisé par les Firewalls.
Cependant je ne connais pas de solution qui gère plusieurs NAT à la
fois. Auriez-vous des solutions ???
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Charly
Le #881977
Bonjour,

Me voilà confronté à un soucis. Il se trouve que j'ai plusieurs réseau
que l'on appellera "A", "B", "C" et "Principal". Il m'est demandé de
pouvoir acceder aux serveurs et services Citrix se trouvant sur les
reseaux "A", "B" et "C" à partir du reseau "Principal". J'avais opté
pour du simple routage, mais il se trouve que les responsables des
reseaux "A", "B" et "C" refusent de modifier les configurations de
leurs Firewalls pour autoriser les adresses du reseau "Principal" à y
acceder. Ce que je pensais donc ça serait de faire du NAT, c'est à
dire translater l'adresse IP "Principal" en "A" , "B" ou "C" où là les
adresses IP serrait dans la plage d'ip autorisé par les Firewalls.
Cependant je ne connais pas de solution qui gère plusieurs NAT à la
fois. Auriez-vous des solutions ???


Salut,

"Port-forwarding" sur les firewalls à l'entrée des réseaux A B et C. Le
firewall peut voir les deux réseaux, et sans routage, transmettera les
paquets IP de/vers le réseau principal et local.

Les serveurs Citrix ne verront alors que l'adresse interne des firewalls
(sur A B ou C).

Ceci est souvent fait pour limiter la casse si le FW tombe et laisse
tout passer. Sans route explicite sur les routeurs, les réseaux ne
peuvent pas communiquer donc les worms et autres non plus.

Charly

Nathanaël
Le #881975
On 4 déc, 17:57, Charly

Bonjour,

Me voilà confronté à un soucis. Il se trouve que j'ai plusieurs r éseau
que l'on appellera "A", "B", "C" et "Principal". Il m'est demandé de
pouvoir acceder aux serveurs et services Citrix se trouvant sur les
reseaux "A", "B" et "C" à partir du reseau "Principal". J'avais opté
pour du simple routage, mais il se trouve que les responsables des
reseaux "A", "B" et "C" refusent de modifier les configurations de
leurs Firewalls pour autoriser les adresses du reseau "Principal" à y
acceder. Ce que je pensais donc ça serait de faire du NAT, c'est à
dire translater l'adresse IP "Principal" en "A" , "B" ou "C" où là l es
adresses IP serrait dans la plage d'ip autorisé par les Firewalls.
Cependant je ne connais pas de solution qui gère plusieurs NAT à la
fois. Auriez-vous des solutions ???


Salut,

"Port-forwarding" sur les firewalls à l'entrée des réseaux A B et C. Le
firewall peut voir les deux réseaux, et sans routage, transmettera les
paquets IP de/vers le réseau principal et local.

Les serveurs Citrix ne verront alors que l'adresse interne des firewalls
(sur A B ou C).

Ceci est souvent fait pour limiter la casse si le FW tombe et laisse
tout passer. Sans route explicite sur les routeurs, les réseaux ne
peuvent pas communiquer donc les worms et autres non plus.

Charly


Hum le port forwarding peut etre une bonne solution mais le probleme
est qu'il y a des serveurs citrix sur A, B et C et les clients citrix
se trouvent sur le reseau "principal". Ce qui est embetant
actuellement, c'est que lorsqu'il doivent changer de batterie citrix,
et bien ils doivent modifier manuellement leurs ip


Pascal Hambourg
Le #881756
Salut,


Me voilà confronté à un soucis. Il se trouve que j'ai plusieurs réseau
que l'on appellera "A", "B", "C" et "Principal". Il m'est demandé de
pouvoir acceder aux serveurs et services Citrix se trouvant sur les
reseaux "A", "B" et "C" à partir du reseau "Principal".


Comment ces réseaux sont-ils interconnectés ?

J'avais opté
pour du simple routage, mais il se trouve que les responsables des
reseaux "A", "B" et "C" refusent de modifier les configurations de
leurs Firewalls pour autoriser les adresses du reseau "Principal" à y
acceder.


Les firewalls en question sont-ils sur les points d'interconnexion entre
réseaux ou sur les serveurs eux-mêmes ?

Ce que je pensais donc ça serait de faire du NAT, c'est à
dire translater l'adresse IP "Principal" en "A" , "B" ou "C" où là les
adresses IP serrait dans la plage d'ip autorisé par les Firewalls.
Cependant je ne connais pas de solution qui gère plusieurs NAT à la
fois. Auriez-vous des solutions ???


N'importe quelle machine tournant sous Linux peut faire du NAT dans tous
les sens en fonction des adresses et ports source et destination, de
l'interface d'entrée, de sortie...

Nathanaël
Le #881749
On 4 déc, 20:42, Pascal Hambourg
Salut,




Me voilà confronté à un soucis. Il se trouve que j'ai plusieurs r éseau
que l'on appellera "A", "B", "C" et "Principal". Il m'est demandé de
pouvoir acceder aux serveurs et services Citrix se trouvant sur les
reseaux "A", "B" et "C" à partir du reseau "Principal".


Comment ces réseaux sont-ils interconnectés ?

J'avais opté
pour du simple routage, mais il se trouve que les responsables des
reseaux "A", "B" et "C" refusent de modifier les configurations de
leurs Firewalls pour autoriser les adresses du reseau "Principal" à y
acceder.


Les firewalls en question sont-ils sur les points d'interconnexion entre
réseaux ou sur les serveurs eux-mêmes ?

Ce que je pensais donc ça serait de faire du NAT, c'est à
dire translater l'adresse IP "Principal" en "A" , "B" ou "C" où là l es
adresses IP serrait dans la plage d'ip autorisé par les Firewalls.
Cependant je ne connais pas de solution qui gère plusieurs NAT à la
fois. Auriez-vous des solutions ???


N'importe quelle machine tournant sous Linux peut faire du NAT dans tous
les sens en fonction des adresses et ports source et destination, de
l'interface d'entrée, de sortie...


Hum... interessante cette information, mais faut etre conscient que
nous travaillons pour des banques etc, nous ne pouvons pas nous
permettre d'avoir une petite bricole. Il nous faut vraiment quelque
chose de fiable. C'est pour cela que je pensais à une sorte
d'ampliance. Mais je ne sais pas s'il existe une ampliance qui fait du
NAT vers plusieurs réseaux. Une sorte de serveur NAT quoi :)


Pascal Hambourg
Le #881535
On 4 déc, 20:42, Pascal Hambourg

[J'aurais bien aimé avoir des réponses à mes questions pour comprendre
comment tu comptes mettre en oeuvre ce NAT.]

N'importe quelle machine tournant sous Linux peut faire du NAT dans tous
les sens en fonction des adresses et ports source et destination, de
l'interface d'entrée, de sortie...


Hum... interessante cette information, mais faut etre conscient que
nous travaillons pour des banques etc, nous ne pouvons pas nous
permettre d'avoir une petite bricole.


Et faire du NAT pour contourner un firewall, ce n'est pas déjà du
bricolage ?

Il nous faut vraiment quelque
chose de fiable. C'est pour cela que je pensais à une sorte
d'ampliance. Mais je ne sais pas s'il existe une ampliance qui fait du
NAT vers plusieurs réseaux. Une sorte de serveur NAT quoi :)


Un "vrai" routeur de chez Cisco ou équivalent doit pouvoir faire ça aussi.


Nathanaël
Le #881534
On 5 déc, 10:05, Pascal Hambourg

On 4 déc, 20:42, Pascal Hambourg

[J'aurais bien aimé avoir des réponses à mes questions pour comprend re
comment tu comptes mettre en oeuvre ce NAT.]

N'importe quelle machine tournant sous Linux peut faire du NAT dans tous
les sens en fonction des adresses et ports source et destination, de
l'interface d'entrée, de sortie...


Hum... interessante cette information, mais faut etre conscient que
nous travaillons pour des banques etc, nous ne pouvons pas nous
permettre d'avoir une petite bricole.


Et faire du NAT pour contourner un firewall, ce n'est pas déjà du
bricolage ?

Il nous faut vraiment quelque
chose de fiable. C'est pour cela que je pensais à une sorte
d'ampliance. Mais je ne sais pas s'il existe une ampliance qui fait du
NAT vers plusieurs réseaux. Une sorte de serveur NAT quoi :)


Un "vrai" routeur de chez Cisco ou équivalent doit pouvoir faire ça au ssi.


:) Je ne remet pas en cause tes idées, je les trouve tres
interessante. Cependant, comme je le disais j'étais parti pour du
routage et non pas du nat, mais les admins des autres reseaux refusent
catégoriquement d'ouvrir leurs flux à d'autres adresses que celles de
leurs reseaux. Nous avons donc p



Nathanaël
Le #879745
On 5 déc, 10:05, Pascal Hambourg

On 4 déc, 20:42, Pascal Hambourg

[J'aurais bien aimé avoir des réponses à mes questions pour comprend re
comment tu comptes mettre en oeuvre ce NAT.]

N'importe quelle machine tournant sous Linux peut faire du NAT dans tous
les sens en fonction des adresses et ports source et destination, de
l'interface d'entrée, de sortie...


Hum... interessante cette information, mais faut etre conscient que
nous travaillons pour des banques etc, nous ne pouvons pas nous
permettre d'avoir une petite bricole.


Et faire du NAT pour contourner un firewall, ce n'est pas déjà du
bricolage ?

Il nous faut vraiment quelque
chose de fiable. C'est pour cela que je pensais à une sorte
d'ampliance. Mais je ne sais pas s'il existe une ampliance qui fait du
NAT vers plusieurs réseaux. Une sorte de serveur NAT quoi :)


Un "vrai" routeur de chez Cisco ou équivalent doit pouvoir faire ça au ssi.


:) Je ne remet pas en cause tes idées Pascal, je les trouve tres
interessantes. Cependant, comme je le disais j'étais parti pour du
routage et non pas du nat, mais les admins des autres reseaux refusent
catégoriquement d'ouvrir leurs flux à d'autres adresses hors mis
celles de
leurs reseaux. Nous avons donc pas le choix. Maintenant en
interconnexion de reseaux nous avons des ciscos 2611XM, peut-etre
qu'il serait possible de faire ceci :

Reseau Principal <--------> Routeur du reseau Principal [ routage]
<-------> Routeur de sortie en direction du reseau A (cisco 2611XM)
[ Nat ] Batterie Citrix 1

<-------> Routeur de sortie en direction du reseau B [ Nat ]
Citrix 2

<-------> Routeur de sortie en direction du reseau C [ Nat ]
<--- ..........

Vous en pensez quoi ?

Cordialement



Pascal Hambourg
Le #879744

Cependant, comme je le disais j'étais parti pour du
routage et non pas du nat,


NAT et routage ne sont pas antagonistes. La plupart du temps le NAT se
superpose au routage et non se substitue à lui. C'est pas le tout de
trafiquer les adresses des paquets, il faut quand même les router, ces
paquets, si on veut qu'ils arrivent à destination !

mais les admins des autres reseaux refusent catégoriquement
d'ouvrir leurs flux à d'autres adresses hors mis celles de
leurs reseaux.


Alors pourquoi sont-ils interconnectés ?

Nous avons donc pas le choix. Maintenant en
interconnexion de reseaux nous avons des ciscos 2611XM, peut-etre
qu'il serait possible de faire ceci :

Reseau Principal <--------> Routeur du reseau Principal [ routage]
<-------> Routeur de sortie en direction du reseau A (cisco 2611XM)
[ Nat ] Batterie Citrix 1

<-------> Routeur de sortie en direction du reseau B [ Nat ]
Citrix 2

<-------> Routeur de sortie en direction du reseau C [ Nat ]
<--- ..........


C'est la structure d'interconnexion existante, excepté le NAT ?

Vous en pensez quoi ?


Que le NAT ne peut pas tout, je crains que remplacer l'adresse du réseau
principal par une adresse du réseau cible au niveau du routeur de sortie
n'apportte pas grand chose. D'une part si le firewall du routeur
d'entrée du réseau cible est bien configuré, il devrait rejeter les
paquets portant une adresse source appartenant à son réseau mais entrant
par l'interface externe, ce qui est considéré comme du spoofing
d'adresse. Et même si ce n'est pas le cas, le serveur, en voulant
répondre à cette adresse, cherchera à la localiser à l'intérieur de son
propre réseau et n'a aucune raison de répondre via le routeur vers le
lien Transpac. Pour que le NAT source fonctionne, il faut que
l'équipement qui le fait ait une patte dans le réseau cible.

Nathanaël
Le #879741
On 5 déc, 12:34, Pascal Hambourg



Cependant, comme je le disais j'étais parti pour du
routage et non pas du nat,


NAT et routage ne sont pas antagonistes. La plupart du temps le NAT se
superpose au routage et non se substitue à lui. C'est pas le tout de
trafiquer les adresses des paquets, il faut quand même les router, ces
paquets, si on veut qu'ils arrivent à destination !

mais les admins des autres reseaux refusent catégoriquement
d'ouvrir leurs flux à d'autres adresses hors mis celles de
leurs reseaux.


Alors pourquoi sont-ils interconnectés ?

Nous avons donc pas le choix. Maintenant en
interconnexion de reseaux nous avons des ciscos 2611XM, peut-etre
qu'il serait possible de faire ceci :

Reseau Principal <--------> Routeur du reseau Principal [ routage]
<-------> Routeur de sortie en direction du reseau A (cisco 2611XM)
[ Nat ] Batterie Citrix 1

<-------> Routeur de sortie en direction du reseau B [ Nat ]
Citrix 2

<-------> Routeur de sortie en direction du reseau C [ Nat ]
<--- ..........


C'est la structure d'interconnexion existante, excepté le NAT ?

Vous en pensez quoi ?


Que le NAT ne peut pas tout, je crains que remplacer l'adresse du réseau
principal par une adresse du réseau cible au niveau du routeur de sortie
n'apportte pas grand chose. D'une part si le firewall du routeur
d'entrée du réseau cible est bien configuré, il devrait rejeter les
paquets portant une adresse source appartenant à son réseau mais entra nt
par l'interface externe, ce qui est considéré comme du spoofing
d'adresse. Et même si ce n'est pas le cas, le serveur, en voulant
répondre à cette adresse, cherchera à la localiser à l'intérieur de son
propre réseau et n'a aucune raison de répondre via le routeur vers le
lien Transpac. Pour que le NAT source fonctionne, il faut que
l'équipement qui le fait ait une patte dans le réseau cible.


Hum, tres bonne reflexion Pascal :) . Merci ... Et bien je n'ai pas
d'autres solution hors mis le routage, ce qui m'est refusé


Antoine ROUCHET
Le #879740
"Nathanaël" news:
On 4 déc, 20:42, Pascal Hambourg
Salut,




Me voilà confronté à un soucis. Il se trouve que j'ai plusieurs réseau
que l'on appellera "A", "B", "C" et "Principal". Il m'est demandé de
pouvoir acceder aux serveurs et services Citrix se trouvant sur les
reseaux "A", "B" et "C" à partir du reseau "Principal".


Comment ces réseaux sont-ils interconnectés ?

J'avais opté
pour du simple routage, mais il se trouve que les responsables des
reseaux "A", "B" et "C" refusent de modifier les configurations de
leurs Firewalls pour autoriser les adresses du reseau "Principal" à y
acceder.


Les firewalls en question sont-ils sur les points d'interconnexion entre
réseaux ou sur les serveurs eux-mêmes ?

Ce que je pensais donc ça serait de faire du NAT, c'est à
dire translater l'adresse IP "Principal" en "A" , "B" ou "C" où là les
adresses IP serrait dans la plage d'ip autorisé par les Firewalls.
Cependant je ne connais pas de solution qui gère plusieurs NAT à la
fois. Auriez-vous des solutions ???


N'importe quelle machine tournant sous Linux peut faire du NAT dans tous
les sens en fonction des adresses et ports source et destination, de
l'interface d'entrée, de sortie...


Hum... interessante cette information, mais faut etre conscient que
nous travaillons pour des banques etc, nous ne pouvons pas nous
permettre d'avoir une petite bricole. Il nous faut vraiment quelque
chose de fiable. C'est pour cela que je pensais à une sorte
d'ampliance. Mais je ne sais pas s'il existe une ampliance qui fait du
NAT vers plusieurs réseaux. Une sorte de serveur NAT quoi :)

---------

Peut-être que si vous leur parler d'un Windows Server (2003) ils seront
rassurés? En ce cas c'est faisable avec cet OS, très facilement de sucroit.
C'est un peu démesuré pour l'usage, mais bon :)

Antoine.


Publicité
Poster une réponse
Anonyme