Albert ARIBAUD wrote:Certes, mais la NAT ça ne protège pas. Alors un firewall qui ne protège
pas, je ne vois pas trop l'intérêt.
Si, un peu : les scan entrants tombent dans le vide si le routeur NAT n'a
pas de mapping vers une machine interne au LAN.
Le mécanisme de NAT n'est en rien responsable de ce comportement. Ce
serait la même chose sans NAT : quand on scanne les ports d'une machine
(ici, le routeur-firewall), celle-ci répond "fermé" si aucun service
n'écoute dessus.
Albert ARIBAUD wrote:
Certes, mais la NAT ça ne protège pas. Alors un firewall qui ne protège
pas, je ne vois pas trop l'intérêt.
Si, un peu : les scan entrants tombent dans le vide si le routeur NAT n'a
pas de mapping vers une machine interne au LAN.
Le mécanisme de NAT n'est en rien responsable de ce comportement. Ce
serait la même chose sans NAT : quand on scanne les ports d'une machine
(ici, le routeur-firewall), celle-ci répond "fermé" si aucun service
n'écoute dessus.
Albert ARIBAUD wrote:Certes, mais la NAT ça ne protège pas. Alors un firewall qui ne protège
pas, je ne vois pas trop l'intérêt.
Si, un peu : les scan entrants tombent dans le vide si le routeur NAT n'a
pas de mapping vers une machine interne au LAN.
Le mécanisme de NAT n'est en rien responsable de ce comportement. Ce
serait la même chose sans NAT : quand on scanne les ports d'une machine
(ici, le routeur-firewall), celle-ci répond "fermé" si aucun service
n'écoute dessus.
les scan entrants tombent dans le vide si le routeur NAT n'a
pas de mapping vers une machine interne au LAN.
Le mécanisme de NAT n'est en rien responsable de ce comportement. Ce
serait la même chose sans NAT : quand on scanne les ports d'une machine
(ici, le routeur-firewall), celle-ci répond "fermé" si aucun service
n'écoute dessus.
Heu, pas forcément : un routeur sans NAT "propulse" tout paquet
susceptible d'être traité "de l'autre côté".
Néanmoins je suis d'accord sur le fait que la protection est un effet de
bord et non une fonction explicite du NAT.
les scan entrants tombent dans le vide si le routeur NAT n'a
pas de mapping vers une machine interne au LAN.
Le mécanisme de NAT n'est en rien responsable de ce comportement. Ce
serait la même chose sans NAT : quand on scanne les ports d'une machine
(ici, le routeur-firewall), celle-ci répond "fermé" si aucun service
n'écoute dessus.
Heu, pas forcément : un routeur sans NAT "propulse" tout paquet
susceptible d'être traité "de l'autre côté".
Néanmoins je suis d'accord sur le fait que la protection est un effet de
bord et non une fonction explicite du NAT.
les scan entrants tombent dans le vide si le routeur NAT n'a
pas de mapping vers une machine interne au LAN.
Le mécanisme de NAT n'est en rien responsable de ce comportement. Ce
serait la même chose sans NAT : quand on scanne les ports d'une machine
(ici, le routeur-firewall), celle-ci répond "fermé" si aucun service
n'écoute dessus.
Heu, pas forcément : un routeur sans NAT "propulse" tout paquet
susceptible d'être traité "de l'autre côté".
Néanmoins je suis d'accord sur le fait que la protection est un effet de
bord et non une fonction explicite du NAT.
Albert ARIBAUD wrote:les scan entrants tombent dans le vide si le routeur NAT n'a
pas de mapping vers une machine interne au LAN.
Le mécanisme de NAT n'est en rien responsable de ce comportement. Ce
serait la même chose sans NAT : quand on scanne les ports d'une machine
(ici, le routeur-firewall), celle-ci répond "fermé" si aucun service
n'écoute dessus.
Heu, pas forcément : un routeur sans NAT "propulse" tout paquet
susceptible d'être traité "de l'autre côté".
[Je vois que je ne suis pas la seule à chercher une bonne traduction de
"forward".]
Qu'entendez-vous par "susceptible d'être traité" ? Pour moi, tout paquet
entrant est non seulement "susceptible d'être traité", mais traité d'une
façon ou d'une autre.
Néanmoins je suis d'accord sur le fait que la protection est un effet de
bord et non une fonction explicite du NAT.
Je crois surtout que la protection en question est un effet de bord du
routage amont.
Albert ARIBAUD wrote:
les scan entrants tombent dans le vide si le routeur NAT n'a
pas de mapping vers une machine interne au LAN.
Le mécanisme de NAT n'est en rien responsable de ce comportement. Ce
serait la même chose sans NAT : quand on scanne les ports d'une machine
(ici, le routeur-firewall), celle-ci répond "fermé" si aucun service
n'écoute dessus.
Heu, pas forcément : un routeur sans NAT "propulse" tout paquet
susceptible d'être traité "de l'autre côté".
[Je vois que je ne suis pas la seule à chercher une bonne traduction de
"forward".]
Qu'entendez-vous par "susceptible d'être traité" ? Pour moi, tout paquet
entrant est non seulement "susceptible d'être traité", mais traité d'une
façon ou d'une autre.
Néanmoins je suis d'accord sur le fait que la protection est un effet de
bord et non une fonction explicite du NAT.
Je crois surtout que la protection en question est un effet de bord du
routage amont.
Albert ARIBAUD wrote:les scan entrants tombent dans le vide si le routeur NAT n'a
pas de mapping vers une machine interne au LAN.
Le mécanisme de NAT n'est en rien responsable de ce comportement. Ce
serait la même chose sans NAT : quand on scanne les ports d'une machine
(ici, le routeur-firewall), celle-ci répond "fermé" si aucun service
n'écoute dessus.
Heu, pas forcément : un routeur sans NAT "propulse" tout paquet
susceptible d'être traité "de l'autre côté".
[Je vois que je ne suis pas la seule à chercher une bonne traduction de
"forward".]
Qu'entendez-vous par "susceptible d'être traité" ? Pour moi, tout paquet
entrant est non seulement "susceptible d'être traité", mais traité d'une
façon ou d'une autre.
Néanmoins je suis d'accord sur le fait que la protection est un effet de
bord et non une fonction explicite du NAT.
Je crois surtout que la protection en question est un effet de bord du
routage amont.
Le routeur est relié à deux "sous-réseaux" au sens large, l'un d'eux
pouvant être en fait l'intégralité de l'espace IP moins le LAN de l'autre
côté.
Exemple : routeur en 192.168.0.254, routant 192.168.0/24 vers Le Vaste
Monde.
Eh bien le routeur qui reçoit du Vaste Monde un paquet pour 192.168.1.0 n'a
pas à le... faire suivre côté LAN, tandis qu'un paquet pour 192.168.0.56,
oui.
Le routeur NAT, lui, connaît les machines réellement connectées, soit parce
qu'elles ont initié une connexion, soit parce qu'elles sont en serveur via
le NAT. Dans tous les cas, seuls les paquets vers des machines actuellement
susceptibles d'en recevoir passent le NAT.
Le routeur est relié à deux "sous-réseaux" au sens large, l'un d'eux
pouvant être en fait l'intégralité de l'espace IP moins le LAN de l'autre
côté.
Exemple : routeur en 192.168.0.254, routant 192.168.0/24 vers Le Vaste
Monde.
Eh bien le routeur qui reçoit du Vaste Monde un paquet pour 192.168.1.0 n'a
pas à le... faire suivre côté LAN, tandis qu'un paquet pour 192.168.0.56,
oui.
Le routeur NAT, lui, connaît les machines réellement connectées, soit parce
qu'elles ont initié une connexion, soit parce qu'elles sont en serveur via
le NAT. Dans tous les cas, seuls les paquets vers des machines actuellement
susceptibles d'en recevoir passent le NAT.
Le routeur est relié à deux "sous-réseaux" au sens large, l'un d'eux
pouvant être en fait l'intégralité de l'espace IP moins le LAN de l'autre
côté.
Exemple : routeur en 192.168.0.254, routant 192.168.0/24 vers Le Vaste
Monde.
Eh bien le routeur qui reçoit du Vaste Monde un paquet pour 192.168.1.0 n'a
pas à le... faire suivre côté LAN, tandis qu'un paquet pour 192.168.0.56,
oui.
Le routeur NAT, lui, connaît les machines réellement connectées, soit parce
qu'elles ont initié une connexion, soit parce qu'elles sont en serveur via
le NAT. Dans tous les cas, seuls les paquets vers des machines actuellement
susceptibles d'en recevoir passent le NAT.
Le routeur est relié à deux "sous-réseaux" au sens large, l'un d'eux
pouvant être en fait l'intégralité de l'espace IP moins le LAN de l'autre
côté.
Exemple : routeur en 192.168.0.254, routant 192.168.0/24 vers Le Vaste
Monde.
Eh bien le routeur qui reçoit du Vaste Monde un paquet pour 192.168.1.0 n'a
pas à le... faire suivre côté LAN, tandis qu'un paquet pour 192.168.0.56,
oui.
Le routeur NAT, lui, connaît les machines réellement connectées, soit parce
qu'elles ont initié une connexion, soit parce qu'elles sont en serveur via
le NAT. Dans tous les cas, seuls les paquets vers des machines actuellement
susceptibles d'en recevoir passent le NAT.
Le routeur est relié à deux "sous-réseaux" au sens large, l'un d'eux
pouvant être en fait l'intégralité de l'espace IP moins le LAN de l'autre
côté.
Exemple : routeur en 192.168.0.254, routant 192.168.0/24 vers Le Vaste
Monde.
Eh bien le routeur qui reçoit du Vaste Monde un paquet pour 192.168.1.0 n'a
pas à le... faire suivre côté LAN, tandis qu'un paquet pour 192.168.0.56,
oui.
Le routeur NAT, lui, connaît les machines réellement connectées, soit parce
qu'elles ont initié une connexion, soit parce qu'elles sont en serveur via
le NAT. Dans tous les cas, seuls les paquets vers des machines actuellement
susceptibles d'en recevoir passent le NAT.
Le routeur est relié à deux "sous-réseaux" au sens large, l'un d'eux
pouvant être en fait l'intégralité de l'espace IP moins le LAN de l'autre
côté.
Exemple : routeur en 192.168.0.254, routant 192.168.0/24 vers Le Vaste
Monde.
Eh bien le routeur qui reçoit du Vaste Monde un paquet pour 192.168.1.0 n'a
pas à le... faire suivre côté LAN, tandis qu'un paquet pour 192.168.0.56,
oui.
Le routeur NAT, lui, connaît les machines réellement connectées, soit parce
qu'elles ont initié une connexion, soit parce qu'elles sont en serveur via
le NAT. Dans tous les cas, seuls les paquets vers des machines actuellement
susceptibles d'en recevoir passent le NAT.
Certes, mais la NAT ça ne protège pas.
Ah bon.
Certes, mais la NAT ça ne protège pas.
Ah bon.
Certes, mais la NAT ça ne protège pas.
Ah bon.
Le cas du NAT est un peu spécial car aucun paquet venant de "l'extérieur"
n'est censé avoir pour adresse de destination une adresse de "l'intérieur".
Toutefois si cela arrive, le routeur NAT se comporte comme un routeur
simple. Pour peu qu'on connaisse l'adressage du LAN derrière le NAT
et qu'on puisse envoyer un paquet directement au routeur NAT depuis le
segment IP en amont (en gros, dans le cas d'un accès ADSL, depuis le
dernier routeur du FAI avant le routeur ADSL), on peut réaliser des
attaques par spoofing.
Si le routeur NAT reçoit un paquet pour lui mais ne trouve aucune
correspondance dans sa table NAT pour ces ports source et de
destination, il se comporte comme un hôte pour ce paquet, ne fait pas
de translation, et renvoie la réponse appropriée, s'il y a lieu.
Le cas du NAT est un peu spécial car aucun paquet venant de "l'extérieur"
n'est censé avoir pour adresse de destination une adresse de "l'intérieur".
Toutefois si cela arrive, le routeur NAT se comporte comme un routeur
simple. Pour peu qu'on connaisse l'adressage du LAN derrière le NAT
et qu'on puisse envoyer un paquet directement au routeur NAT depuis le
segment IP en amont (en gros, dans le cas d'un accès ADSL, depuis le
dernier routeur du FAI avant le routeur ADSL), on peut réaliser des
attaques par spoofing.
Si le routeur NAT reçoit un paquet pour lui mais ne trouve aucune
correspondance dans sa table NAT pour ces ports source et de
destination, il se comporte comme un hôte pour ce paquet, ne fait pas
de translation, et renvoie la réponse appropriée, s'il y a lieu.
Le cas du NAT est un peu spécial car aucun paquet venant de "l'extérieur"
n'est censé avoir pour adresse de destination une adresse de "l'intérieur".
Toutefois si cela arrive, le routeur NAT se comporte comme un routeur
simple. Pour peu qu'on connaisse l'adressage du LAN derrière le NAT
et qu'on puisse envoyer un paquet directement au routeur NAT depuis le
segment IP en amont (en gros, dans le cas d'un accès ADSL, depuis le
dernier routeur du FAI avant le routeur ADSL), on peut réaliser des
attaques par spoofing.
Si le routeur NAT reçoit un paquet pour lui mais ne trouve aucune
correspondance dans sa table NAT pour ces ports source et de
destination, il se comporte comme un hôte pour ce paquet, ne fait pas
de translation, et renvoie la réponse appropriée, s'il y a lieu.
Oui et non. Oui car les ports des machines du LAN ne sont pas directement
accessibles (donc pas de cheval de troie ou autre vers), non car en sortie
les ports ne sont pas suurveillés. Mais à mon avis c'est le premier point
qui est important, donc je dirais oui.
Oui et non. Oui car les ports des machines du LAN ne sont pas directement
accessibles (donc pas de cheval de troie ou autre vers), non car en sortie
les ports ne sont pas suurveillés. Mais à mon avis c'est le premier point
qui est important, donc je dirais oui.
Oui et non. Oui car les ports des machines du LAN ne sont pas directement
accessibles (donc pas de cheval de troie ou autre vers), non car en sortie
les ports ne sont pas suurveillés. Mais à mon avis c'est le premier point
qui est important, donc je dirais oui.
"François Yves Le Gal" wrote:
Coupe-feu <> filtrage.
Faites excuses, je croyais. Et donc que fait un coupe-feu s'il ne
filtre
pas ?
"François Yves Le Gal" wrote:
Coupe-feu <> filtrage.
Faites excuses, je croyais. Et donc que fait un coupe-feu s'il ne
filtre
pas ?
"François Yves Le Gal" wrote:
Coupe-feu <> filtrage.
Faites excuses, je croyais. Et donc que fait un coupe-feu s'il ne
filtre
pas ?
Bon, dans tous les cas de figure, le fait demeure que le routeur NAT ne
transmettra rien s'il n'a pas des instructions *explicites* pour le faire,
donc bloquera des paquets même si ce n'est pas sa fonction.
Amicalement,
Bon, dans tous les cas de figure, le fait demeure que le routeur NAT ne
transmettra rien s'il n'a pas des instructions *explicites* pour le faire,
donc bloquera des paquets même si ce n'est pas sa fonction.
Amicalement,
Bon, dans tous les cas de figure, le fait demeure que le routeur NAT ne
transmettra rien s'il n'a pas des instructions *explicites* pour le faire,
donc bloquera des paquets même si ce n'est pas sa fonction.
Amicalement,
