je viens de tomber sur un post sur proxad.free.adsl.freeplayer qui me
surprend beaucoup , je cite :
>Combien de fois faudra t'il répèter que désactiver un firewall (stopper le
>nservice) e veut pas dire que les règles établies au préalable ne seront pas
> appliquées. Si on veut être sûr que rien ne bloque, il faut désinstaller
>ccomplétement le firewall, e que je déconseille fortement.
j'y ai répondu qu'AMHA si un FW est désactivé il ne fonctionne plus et
ne filtrera plus les nouvelles demandes de connection... A moins que
Zone Alarm (dont il est question) ne continue a être efficae désactivé
? hum... :-/
Accessoirement faire de la NAT dans un tel cas est une abération.
Pas du tout. Ca permet (entre autres) de t'affranchir d'un éventuel changement de FAI. Ou encore de cacher une machine, juste en rechargean,t les règles NAT.
A quoi te sert d'avoir des adresses IP publiques si tu ne les utilises pas parce que tu fais systématiquement du NAT par-dessus ? A rien. A quoi te sert d'assigner une adresse IP publique à une machine que tu ne veux pas publique ? A faciliter la tache d'un attaquant éventuel et compliquer la tienne pour la sécurisation de ton réseau. De deux choses l'une, soit les machines ayant une adresse IP publique sont sur la même patte de ton firewall, et le passage de l'une à l'autre se fera au niveau des switchs, ce qui permet donc de rebondir d'une machine publique à la machine cachée. Soit la machine cachée est sur une autre patte de ton firewall, auquel cas il ne sert strictement à rien de lui assigner une adresse IP publique qui ne sera jamais utilisée autrement que comme une adresse IP privée.
Xavier devait dire quelque chose comme ceci :
Manou <maouu@free.fr> wrote:
Accessoirement faire de la NAT dans un tel cas est une abération.
Pas du tout. Ca permet (entre autres) de t'affranchir d'un éventuel
changement de FAI. Ou encore de cacher une machine, juste en
rechargean,t les règles NAT.
A quoi te sert d'avoir des adresses IP publiques si tu ne les utilises
pas parce que tu fais systématiquement du NAT par-dessus ? A rien. A
quoi te sert d'assigner une adresse IP publique à une machine que tu ne
veux pas publique ? A faciliter la tache d'un attaquant éventuel et
compliquer la tienne pour la sécurisation de ton réseau.
De deux choses l'une, soit les machines ayant une adresse IP publique
sont sur la même patte de ton firewall, et le passage de l'une à
l'autre se fera au niveau des switchs, ce qui permet donc de rebondir
d'une machine publique à la machine cachée. Soit la machine cachée est
sur une autre patte de ton firewall, auquel cas il ne sert strictement
à rien de lui assigner une adresse IP publique qui ne sera jamais
utilisée autrement que comme une adresse IP privée.
Accessoirement faire de la NAT dans un tel cas est une abération.
Pas du tout. Ca permet (entre autres) de t'affranchir d'un éventuel changement de FAI. Ou encore de cacher une machine, juste en rechargean,t les règles NAT.
A quoi te sert d'avoir des adresses IP publiques si tu ne les utilises pas parce que tu fais systématiquement du NAT par-dessus ? A rien. A quoi te sert d'assigner une adresse IP publique à une machine que tu ne veux pas publique ? A faciliter la tache d'un attaquant éventuel et compliquer la tienne pour la sécurisation de ton réseau. De deux choses l'une, soit les machines ayant une adresse IP publique sont sur la même patte de ton firewall, et le passage de l'une à l'autre se fera au niveau des switchs, ce qui permet donc de rebondir d'une machine publique à la machine cachée. Soit la machine cachée est sur une autre patte de ton firewall, auquel cas il ne sert strictement à rien de lui assigner une adresse IP publique qui ne sera jamais utilisée autrement que comme une adresse IP privée.
Manou
devait dire quelque chose comme ceci :
Plus de NAT -> plus de connectivité IP ? A une exception prêt, oui.
Mais encore ?
Elle était indiquée plus bas, le cas où tu fais du NAT sur des adresses IP routables.
Dans l'idée que je m'en fais, qui est il est vrai largement influencée par le fonctionnement d'iptables, la NAT ne sert même pas du tout à router. Elle sert à modifier les adresses, point.
Peut-être est-ce pour cela que j'ai dit qu'elle ne servait pas qu'à cela mais surtout à modifier l'adresse IP source (et par extension celle de destination dans l'autre sens).
elle sert surtout à modifier l'adresse IP source pour que celle-ci soit routable *et* que la réponse arrive au bon endroit.
Une adresse privée *est* routable. Il suffit de la router.
<RFC 1918> Routers in networks not using private address space, especially those of Internet service providers, are expected to be configured to reject (filter out) routing information about private networks. If such a router receives such information the rejection shall not be treated as a routing protocol error. </>
Une adresse privée ne doit pas être routée en dehors du réseau qui l'abrite.
En coupant la NAT, tu continues à envoyer des données vers le vaste monde, mais celui-ci est dans l'incapacité de te trouver et donc de te répondre ; ce qui revient donc à couper, virtuellement, la connexion.
"Virtuellement" seulement.
Ai-je dit le contraire ?
Je trouve donc que dire que "couper le firewall est secure parce que NAT est coupé aussi" est dangereux.
Non seulement je n'ai pas dit le contraire, mais en plus je n'ai pas dit cela non plus. Je me suis contenté de dire que le fait de couper la NAT revenait à couper virtuellement la connexion, ce qui est exact dans 99,99% des cas.
[1] Après tout, rien dans la théorie n'interdit de monter son réseau sur 81.0.0.0/8 tant que les adresses sont correctement modifiées avant de sortir du-dit réseau.
Excepté le léger inconvénient que toutes les machines qui ont une "vraie" adresse publique dans cette plage seront injoignables depuis ce réseau.
Voilà pourquoi c'est la théorie et non la pratique.
Pascal@plouf devait dire quelque chose comme ceci :
Plus de NAT -> plus de connectivité IP ?
A une exception prêt, oui.
Mais encore ?
Elle était indiquée plus bas, le cas où tu fais du NAT sur des
adresses IP routables.
Dans l'idée que je m'en fais, qui est il est vrai largement influencée
par le fonctionnement d'iptables, la NAT ne sert même pas du tout à
router. Elle sert à modifier les adresses, point.
Peut-être est-ce pour cela que j'ai dit qu'elle ne servait pas qu'à
cela mais surtout à modifier l'adresse IP source (et par extension
celle de destination dans l'autre sens).
elle sert surtout à modifier l'adresse IP source pour que celle-ci soit
routable *et* que la réponse arrive au bon endroit.
Une adresse privée *est* routable. Il suffit de la router.
<RFC 1918>
Routers in networks not using private address space, especially those
of Internet service providers, are expected to be configured to reject
(filter out) routing information about private networks. If such a
router receives such information the rejection shall not be treated as
a routing protocol error.
</>
Une adresse privée ne doit pas être routée en dehors du réseau qui
l'abrite.
En coupant la NAT, tu continues à envoyer des données vers le vaste
monde, mais celui-ci est dans l'incapacité de te trouver et donc de te
répondre ; ce qui revient donc à couper, virtuellement, la connexion.
"Virtuellement" seulement.
Ai-je dit le contraire ?
Je trouve donc que dire que "couper le firewall est secure parce que
NAT est coupé aussi" est dangereux.
Non seulement je n'ai pas dit le contraire, mais en plus je n'ai pas
dit cela non plus. Je me suis contenté de dire que le fait de couper la
NAT revenait à couper virtuellement la connexion, ce qui est exact dans
99,99% des cas.
[1]
Après tout, rien dans la théorie n'interdit de monter son réseau sur
81.0.0.0/8 tant que les adresses sont correctement modifiées avant de
sortir du-dit réseau.
Excepté le léger inconvénient que toutes les machines qui ont une
"vraie" adresse publique dans cette plage seront injoignables depuis ce
réseau.
Voilà pourquoi c'est la théorie et non la pratique.
Plus de NAT -> plus de connectivité IP ? A une exception prêt, oui.
Mais encore ?
Elle était indiquée plus bas, le cas où tu fais du NAT sur des adresses IP routables.
Dans l'idée que je m'en fais, qui est il est vrai largement influencée par le fonctionnement d'iptables, la NAT ne sert même pas du tout à router. Elle sert à modifier les adresses, point.
Peut-être est-ce pour cela que j'ai dit qu'elle ne servait pas qu'à cela mais surtout à modifier l'adresse IP source (et par extension celle de destination dans l'autre sens).
elle sert surtout à modifier l'adresse IP source pour que celle-ci soit routable *et* que la réponse arrive au bon endroit.
Une adresse privée *est* routable. Il suffit de la router.
<RFC 1918> Routers in networks not using private address space, especially those of Internet service providers, are expected to be configured to reject (filter out) routing information about private networks. If such a router receives such information the rejection shall not be treated as a routing protocol error. </>
Une adresse privée ne doit pas être routée en dehors du réseau qui l'abrite.
En coupant la NAT, tu continues à envoyer des données vers le vaste monde, mais celui-ci est dans l'incapacité de te trouver et donc de te répondre ; ce qui revient donc à couper, virtuellement, la connexion.
"Virtuellement" seulement.
Ai-je dit le contraire ?
Je trouve donc que dire que "couper le firewall est secure parce que NAT est coupé aussi" est dangereux.
Non seulement je n'ai pas dit le contraire, mais en plus je n'ai pas dit cela non plus. Je me suis contenté de dire que le fait de couper la NAT revenait à couper virtuellement la connexion, ce qui est exact dans 99,99% des cas.
[1] Après tout, rien dans la théorie n'interdit de monter son réseau sur 81.0.0.0/8 tant que les adresses sont correctement modifiées avant de sortir du-dit réseau.
Excepté le léger inconvénient que toutes les machines qui ont une "vraie" adresse publique dans cette plage seront injoignables depuis ce réseau.
Voilà pourquoi c'est la théorie et non la pratique.
R12y
On Sat, 31 Dec 2005 08:38:01 +0000, Manou wrote:
Accessoirement faire de la NAT dans un tel cas est une abération. Pas du tout. Ca permet (entre autres) de t'affranchir d'un éventuel
changement de FAI. Ou encore de cacher une machine, juste en rechargean,t les règles NAT. A quoi te sert d'avoir des adresses IP publiques si tu ne les utilises
pas parce que tu fais systématiquement du NAT par-dessus ? A rien.
Si. C'est le cas avec moi et certains de mes serveurs dédiés. Quand on loue un serveur (CTN1, OVH, Sivit...) on a forcément une adresse IP publique. Mais on veut par exemple qu'il y ait un frontal (répartiteur de charge, par exemple) et d'autres qui ne soient joignables _que_ par le frontal. En prenant comme exemple ceci: http://www.locataire-serveur.info/workspaces/members/mihamina/public/architecture
-- Telephone portable "intelligent" (SmartPhone) GSM, GPRS,... Il est sous Linux, ne coute pas trop cher,... http://www.it2l.com/product_info.php?cPath&products_idE6
On Sat, 31 Dec 2005 08:38:01 +0000, Manou wrote:
Accessoirement faire de la NAT dans un tel cas est une abération.
Pas du tout. Ca permet (entre autres) de t'affranchir d'un éventuel
changement de FAI. Ou encore de cacher une machine, juste en
rechargean,t les règles NAT.
A quoi te sert d'avoir des adresses IP publiques si tu ne les utilises
pas parce que tu fais systématiquement du NAT par-dessus ? A rien.
Si. C'est le cas avec moi et certains de mes serveurs dédiés.
Quand on loue un serveur (CTN1, OVH, Sivit...) on a forcément une adresse
IP publique. Mais on veut par exemple qu'il y ait un frontal (répartiteur
de charge, par exemple) et d'autres qui ne soient joignables _que_ par le
frontal.
En prenant comme exemple ceci:
http://www.locataire-serveur.info/workspaces/members/mihamina/public/architecture
--
Telephone portable "intelligent" (SmartPhone) GSM, GPRS,...
Il est sous Linux, ne coute pas trop cher,...
http://www.it2l.com/product_info.php?cPath&products_idE6
Accessoirement faire de la NAT dans un tel cas est une abération. Pas du tout. Ca permet (entre autres) de t'affranchir d'un éventuel
changement de FAI. Ou encore de cacher une machine, juste en rechargean,t les règles NAT. A quoi te sert d'avoir des adresses IP publiques si tu ne les utilises
pas parce que tu fais systématiquement du NAT par-dessus ? A rien.
Si. C'est le cas avec moi et certains de mes serveurs dédiés. Quand on loue un serveur (CTN1, OVH, Sivit...) on a forcément une adresse IP publique. Mais on veut par exemple qu'il y ait un frontal (répartiteur de charge, par exemple) et d'autres qui ne soient joignables _que_ par le frontal. En prenant comme exemple ceci: http://www.locataire-serveur.info/workspaces/members/mihamina/public/architecture
-- Telephone portable "intelligent" (SmartPhone) GSM, GPRS,... Il est sous Linux, ne coute pas trop cher,... http://www.it2l.com/product_info.php?cPath&products_idE6
Eric Razny
Le Sat, 31 Dec 2005 13:41:26 +0000, R12y a écrit :
A quoi te sert d'avoir des adresses IP publiques si tu ne les utilises pas parce que tu fais systématiquement du NAT par-dessus ? A rien.
Si. C'est le cas avec moi et certains de mes serveurs dédiés. Quand on loue un serveur (CTN1, OVH, Sivit...) on a forcément une adresse IP publique. Mais on veut par exemple qu'il y ait un frontal (répartiteur de charge, par exemple) et d'autres qui ne soient joignables _que_ par le frontal. En prenant comme exemple ceci: http://www.locataire-serveur.info/workspaces/members/mihamina/public/architecture
Bien là je ne comprends pas bien. Avec un schema de ce genre l'IP publique est sur le répartiteur (qui devient de facto spof). Derrière aucune raison d'avoir une IP publique, un (des) réseau(x) naté suffit.
Accessoirement on n'arrive pas à voir si ta machine qui gère la base est sur le même réseau ou pas. J'interprête ce que tu as dessiné comme des vlan via deux switches par exemple. Bref ce n'est pas très clair...
Tu peux mettre le matériel d'interco et les IP qui vont avec (pas nécessairement les vrais), q'au moins qu'on puisse comprendre un peu, et confirmer par exemple que tes 3 serveurs http sont sur deux réseaux distincts?
Eric.
Le Sat, 31 Dec 2005 13:41:26 +0000, R12y a écrit :
A quoi te sert d'avoir des adresses IP publiques si tu ne les utilises
pas parce que tu fais systématiquement du NAT par-dessus ? A rien.
Si. C'est le cas avec moi et certains de mes serveurs dédiés. Quand on
loue un serveur (CTN1, OVH, Sivit...) on a forcément une adresse IP
publique. Mais on veut par exemple qu'il y ait un frontal (répartiteur
de charge, par exemple) et d'autres qui ne soient joignables _que_ par
le frontal.
En prenant comme exemple ceci:
http://www.locataire-serveur.info/workspaces/members/mihamina/public/architecture
Bien là je ne comprends pas bien.
Avec un schema de ce genre l'IP publique est sur le répartiteur (qui
devient de facto spof). Derrière aucune raison d'avoir une IP publique,
un (des) réseau(x) naté suffit.
Accessoirement on n'arrive pas à voir si ta machine qui gère la base est
sur le même réseau ou pas. J'interprête ce que tu as dessiné comme des
vlan via deux switches par exemple. Bref ce n'est pas très clair...
Tu peux mettre le matériel d'interco et les IP qui vont avec (pas
nécessairement les vrais), q'au moins qu'on puisse comprendre un peu, et
confirmer par exemple que tes 3 serveurs http sont sur deux réseaux
distincts?
Le Sat, 31 Dec 2005 13:41:26 +0000, R12y a écrit :
A quoi te sert d'avoir des adresses IP publiques si tu ne les utilises pas parce que tu fais systématiquement du NAT par-dessus ? A rien.
Si. C'est le cas avec moi et certains de mes serveurs dédiés. Quand on loue un serveur (CTN1, OVH, Sivit...) on a forcément une adresse IP publique. Mais on veut par exemple qu'il y ait un frontal (répartiteur de charge, par exemple) et d'autres qui ne soient joignables _que_ par le frontal. En prenant comme exemple ceci: http://www.locataire-serveur.info/workspaces/members/mihamina/public/architecture
Bien là je ne comprends pas bien. Avec un schema de ce genre l'IP publique est sur le répartiteur (qui devient de facto spof). Derrière aucune raison d'avoir une IP publique, un (des) réseau(x) naté suffit.
Accessoirement on n'arrive pas à voir si ta machine qui gère la base est sur le même réseau ou pas. J'interprête ce que tu as dessiné comme des vlan via deux switches par exemple. Bref ce n'est pas très clair...
Tu peux mettre le matériel d'interco et les IP qui vont avec (pas nécessairement les vrais), q'au moins qu'on puisse comprendre un peu, et confirmer par exemple que tes 3 serveurs http sont sur deux réseaux distincts?
Eric.
R12y
On Sat, 31 Dec 2005 18:57:15 +0000, Eric Razny wrote:
Derrière aucune raison d'avoir une IP publique, un (des) réseau(x) naté suffit.
Je n'ai pas dis le contraire. Je dis que quand tu loues un serveur, tu as systématiquement une IP publique. Mais comme tu peux vouloir cacher certains serveur au public, eh bien tu NAT quand même. Ceci dit, on peut très bien ne NATer que le traffic http, par exemple, et ne rien faire sur les autres type de traffic. Le shema que j'ai donné n'explique peut-être pas très bien ce que je voulais dire (j'allais pas en refaire un exprès pour t'expliquer), mais il existe un certain nombre de cas, pas si rares que ça ou l'on souhaite NATer des IP publiques
Bon bref, moi je vois un interet à la chose. Je suis pas très doué pour l'expliquer, c'est tout.
-- Telephone portable "intelligent" (SmartPhone) GSM, GPRS,... Il est sous Linux, ne coute pas trop cher,... http://www.it2l.com/product_info.php?cPath&products_idE6
On Sat, 31 Dec 2005 18:57:15 +0000, Eric Razny wrote:
Derrière aucune raison d'avoir une IP publique,
un (des) réseau(x) naté suffit.
Je n'ai pas dis le contraire.
Je dis que quand tu loues un serveur, tu as systématiquement une IP
publique. Mais comme tu peux vouloir cacher certains serveur au public, eh
bien tu NAT quand même. Ceci dit, on peut très bien ne NATer que le
traffic http, par exemple, et ne rien faire sur les autres type de
traffic. Le shema que j'ai donné n'explique peut-être pas très bien ce que
je voulais dire (j'allais pas en refaire un exprès pour t'expliquer), mais
il existe un certain nombre de cas, pas si rares que ça ou l'on souhaite
NATer des IP publiques
Bon bref, moi je vois un interet à la chose. Je suis pas très doué pour
l'expliquer, c'est tout.
--
Telephone portable "intelligent" (SmartPhone) GSM, GPRS,...
Il est sous Linux, ne coute pas trop cher,...
http://www.it2l.com/product_info.php?cPath&products_idE6
On Sat, 31 Dec 2005 18:57:15 +0000, Eric Razny wrote:
Derrière aucune raison d'avoir une IP publique, un (des) réseau(x) naté suffit.
Je n'ai pas dis le contraire. Je dis que quand tu loues un serveur, tu as systématiquement une IP publique. Mais comme tu peux vouloir cacher certains serveur au public, eh bien tu NAT quand même. Ceci dit, on peut très bien ne NATer que le traffic http, par exemple, et ne rien faire sur les autres type de traffic. Le shema que j'ai donné n'explique peut-être pas très bien ce que je voulais dire (j'allais pas en refaire un exprès pour t'expliquer), mais il existe un certain nombre de cas, pas si rares que ça ou l'on souhaite NATer des IP publiques
Bon bref, moi je vois un interet à la chose. Je suis pas très doué pour l'expliquer, c'est tout.
-- Telephone portable "intelligent" (SmartPhone) GSM, GPRS,... Il est sous Linux, ne coute pas trop cher,... http://www.it2l.com/product_info.php?cPath&products_idE6
