Soit une machine A située derrière une passerelle P. La machine A n'a qu'une
interface, dont l'adresse est locale (genre 192.168.0.1), et la passerelle
a une interface en 192.168.0.254, et l'autre avec un IP routable vers le
vaste monde. Soit alors une machine M dudit vaste monde, qui contacte le la
passerelle sur un port tel que les règles de routage de la passerelle font
que les paquets sont redirigés vers A.
Quand A voit arriver un paquet, sait-elle qu'il vient de M ou le voit-elle
comme provenant de P ? Jusqu'à présent je croyais que la réponse était M,
mais j'ai cru voir récemment en me logant sur une machine qui pourrait être
le A de l'exemple, « last login: <date> from 192.168.0.254 ».
En fait, je me demande donc si c'est fiable ou pas dans ses règles de
filtrage iptable d'être un peu plus coulant avec les gens du réseau local
192.168.0.0/16 (ce qui simplifie quand même pas mal la vie) ou pas. (En
supposant par ailleurs l'accès à ce réseau sécurisé (porte d'entrée, WPA).)
Le (on) dimanche 13 janvier 2008 20:44, Pascal Hambourg a écrit (wrote) :
Si, je crois bien. En tout cas j'arrive en effet à reproduire ce phénomène comme ça, et il me semble que j'avais bien fait ce genre de connexion auparavant. Par contre je ne suis pas sûr de comprendre pourquoi ça se passe comme ça.
Parce que les paquets de réponse doivent passer par le routeur afin que celui-ci remplace l'adresse source du serveur par l'adresse d'origine à laquelle le client s'est connecté. Sinon le client ne les reconnaît pas comme des réponses. Or quand le client et le serveur sont dans le même réseau (contrairement à une connexion redirigée depuis l'extérieur), si le routeur ne remplaçait pas l'adresse source du client par la sienne, les réponses iraient directement du serveur au client avec mauvaise adresse source.
Hum, je ne suis finalement pas sûr d'avoir bien compris tout ça. Disons que le routeur a trois interfaces qu'on appellera WAN, LAN1 et LAN2, et que les machines locales sont M1 et M2 (reliées resp à LAN1 et LAN2). Disons aussi que le routeur redirige tout ce qui arrive sur WAN pour le port 80 vers M1.
Quand M1 envoie un paquet pour l'adresse de WAN, celui-ci arrive d'abord sur l'interface LAN2 du routeur, non ? Comment ça se fait qu'ensuite le paquet est ré-orienté vers M2 ? ... Ah, je crois que je comprends en écrivant : en fait, pour le routeur, la règle n'est pas de réorienter vers M2 les paquets qui arrivent sur WAN pour le port 80, mais ceux qui ont l'adresse de WAN comme adresse de destination ? Et quand justement il les voit arriver par LAN2 au lieu de WAN, il comprend que là il faut trafiquer les IP sources à l'aller et au retour pour que tout se passe bien ?
En fait, il y a deux trucs qui ne sont pas clairs non plus pour moi : toutes les interfaces du routeur sur le réseau local ont la même IP en fait : ce n'est pas un peu bizarre comme truc ? Et quand tu dis que si les adresses n'étaient pas trafiquées la réponse irait directement du serveur au client, ça me paraît bizarre car le serveur et le client ne sont physiquement reliés que par l'intermédiaire du routeur, au fond. Donc qu'est-ce que ça veut dire dans ce cas « aller directement » du serveur au client ?
Désolé pour ces question sans doute basiques, je n'ai malheureusement aucune notion sérieuse en réseau. Et merci pour toutes les explications que tu m'as déjà données.
Manuel.
Le (on) dimanche 13 janvier 2008 20:44, Pascal Hambourg a écrit (wrote) :
Si, je crois bien. En tout cas j'arrive en effet à reproduire ce
phénomène comme ça, et il me semble que j'avais bien fait ce genre de
connexion auparavant. Par contre je ne suis pas sûr de comprendre
pourquoi ça se passe comme ça.
Parce que les paquets de réponse doivent passer par le routeur afin que
celui-ci remplace l'adresse source du serveur par l'adresse d'origine à
laquelle le client s'est connecté. Sinon le client ne les reconnaît pas
comme des réponses. Or quand le client et le serveur sont dans le même
réseau (contrairement à une connexion redirigée depuis l'extérieur), si
le routeur ne remplaçait pas l'adresse source du client par la sienne,
les réponses iraient directement du serveur au client avec mauvaise
adresse source.
Hum, je ne suis finalement pas sûr d'avoir bien compris tout ça. Disons que
le routeur a trois interfaces qu'on appellera WAN, LAN1 et LAN2, et que les
machines locales sont M1 et M2 (reliées resp à LAN1 et LAN2). Disons aussi
que le routeur redirige tout ce qui arrive sur WAN pour le port 80 vers M1.
Quand M1 envoie un paquet pour l'adresse de WAN, celui-ci arrive d'abord sur
l'interface LAN2 du routeur, non ? Comment ça se fait qu'ensuite le paquet
est ré-orienté vers M2 ? ... Ah, je crois que je comprends en écrivant : en
fait, pour le routeur, la règle n'est pas de réorienter vers M2 les paquets
qui arrivent sur WAN pour le port 80, mais ceux qui ont l'adresse de WAN
comme adresse de destination ? Et quand justement il les voit arriver par
LAN2 au lieu de WAN, il comprend que là il faut trafiquer les IP sources à
l'aller et au retour pour que tout se passe bien ?
En fait, il y a deux trucs qui ne sont pas clairs non plus pour moi : toutes
les interfaces du routeur sur le réseau local ont la même IP en fait : ce
n'est pas un peu bizarre comme truc ? Et quand tu dis que si les adresses
n'étaient pas trafiquées la réponse irait directement du serveur au client,
ça me paraît bizarre car le serveur et le client ne sont physiquement
reliés que par l'intermédiaire du routeur, au fond. Donc qu'est-ce que ça
veut dire dans ce cas « aller directement » du serveur au client ?
Désolé pour ces question sans doute basiques, je n'ai malheureusement aucune
notion sérieuse en réseau. Et merci pour toutes les explications que tu
m'as déjà données.
Le (on) dimanche 13 janvier 2008 20:44, Pascal Hambourg a écrit (wrote) :
Si, je crois bien. En tout cas j'arrive en effet à reproduire ce phénomène comme ça, et il me semble que j'avais bien fait ce genre de connexion auparavant. Par contre je ne suis pas sûr de comprendre pourquoi ça se passe comme ça.
Parce que les paquets de réponse doivent passer par le routeur afin que celui-ci remplace l'adresse source du serveur par l'adresse d'origine à laquelle le client s'est connecté. Sinon le client ne les reconnaît pas comme des réponses. Or quand le client et le serveur sont dans le même réseau (contrairement à une connexion redirigée depuis l'extérieur), si le routeur ne remplaçait pas l'adresse source du client par la sienne, les réponses iraient directement du serveur au client avec mauvaise adresse source.
Hum, je ne suis finalement pas sûr d'avoir bien compris tout ça. Disons que le routeur a trois interfaces qu'on appellera WAN, LAN1 et LAN2, et que les machines locales sont M1 et M2 (reliées resp à LAN1 et LAN2). Disons aussi que le routeur redirige tout ce qui arrive sur WAN pour le port 80 vers M1.
Quand M1 envoie un paquet pour l'adresse de WAN, celui-ci arrive d'abord sur l'interface LAN2 du routeur, non ? Comment ça se fait qu'ensuite le paquet est ré-orienté vers M2 ? ... Ah, je crois que je comprends en écrivant : en fait, pour le routeur, la règle n'est pas de réorienter vers M2 les paquets qui arrivent sur WAN pour le port 80, mais ceux qui ont l'adresse de WAN comme adresse de destination ? Et quand justement il les voit arriver par LAN2 au lieu de WAN, il comprend que là il faut trafiquer les IP sources à l'aller et au retour pour que tout se passe bien ?
En fait, il y a deux trucs qui ne sont pas clairs non plus pour moi : toutes les interfaces du routeur sur le réseau local ont la même IP en fait : ce n'est pas un peu bizarre comme truc ? Et quand tu dis que si les adresses n'étaient pas trafiquées la réponse irait directement du serveur au client, ça me paraît bizarre car le serveur et le client ne sont physiquement reliés que par l'intermédiaire du routeur, au fond. Donc qu'est-ce que ça veut dire dans ce cas « aller directement » du serveur au client ?
Désolé pour ces question sans doute basiques, je n'ai malheureusement aucune notion sérieuse en réseau. Et merci pour toutes les explications que tu m'as déjà données.
Manuel.
Pascal Hambourg
Hum, je ne suis finalement pas sûr d'avoir bien compris tout ça. Disons que le routeur a trois interfaces qu'on appellera WAN, LAN1 et LAN2, et que les machines locales sont M1 et M2 (reliées resp à LAN1 et LAN2). Disons aussi que le routeur redirige tout ce qui arrive sur WAN pour le port 80 vers M1.
Pourquoi trois interfaces ? La plupart des routeurs SOHO/domestiques n'ont que deux interfaces, LAN et WAN. Les ports du switch intégrés et l'interface wifi ne compte que pour une interface (LAN).
Quand M1 envoie un paquet pour l'adresse de WAN, celui-ci arrive d'abord sur l'interface LAN2 du routeur, non ? Comment ça se fait qu'ensuite le paquet est ré-orienté vers M2 ? ... Ah, je crois que je comprends en écrivant : en fait, pour le routeur, la règle n'est pas de réorienter vers M2 les paquets qui arrivent sur WAN pour le port 80, mais ceux qui ont l'adresse de WAN comme adresse de destination ?
Ça dépend comment la redirection est réalisée. Les deux cas doivent exister. Si la redirection est basée sur l'interface d'entrée, il est clair qu'elle est inopérante sur les connexions provenant du LAN. De fait, la redirection d'une connexion provenant du LAN ne fonctionne pas avec tous les routeurs, soit parce qu'elle ne fonctionne que sur l'interface WAN, soit parce que le routeur ne modifie pas l'adresse source de la connexion avant de renvoyer les paquets sur le LAN.
Et quand justement il les voit arriver par LAN2 au lieu de WAN, il comprend que là il faut trafiquer les IP sources à l'aller et au retour pour que tout se passe bien ?
La décision de trafiquer l'adresse source à l'aller peut être basée sur l'interface d'entrée (LAN) ou sur l'adresse source originelle (dans le sous-réseau du LAN). La encore, ça dépend de l'implémentation.
En fait, il y a deux trucs qui ne sont pas clairs non plus pour moi : toutes les interfaces du routeur sur le réseau local ont la même IP en fait : ce n'est pas un peu bizarre comme truc ?
En fait ce ne sont pas des interfaces réseau individuelles, ce sont les ports d'un switch intégré qui est connecté à une seule et même interface réseau LAN en interne.
Et quand tu dis que si les adresses n'étaient pas trafiquées la réponse irait directement du serveur au client, ça me paraît bizarre car le serveur et le client ne sont physiquement reliés que par l'intermédiaire du routeur, au fond. Donc qu'est-ce que ça veut dire dans ce cas « aller directement » du serveur au client ?
Les postes du LAN sont directement interconnectés entre eux par le switch intégré (couche 2 OSI, liaison), sans passer par la fonction routeur+NAT (couche 3 OSI, réseau). C'est pour cela qu'ils sont dans le même sous-réseau.
Une des premières versions de Livebox ne suivait pas ce schéma : chaque port LAN correspondait à une interface réseau distincte, avec une adresse distincte, un sous-réseau distinct... Du coup les postes connectés à des ports différents ne pouvaient communiquer qu'à travers la fonction routeur de la Livebox, ce qui posait des problèmes notamment avec le voisinage réseau Windows car les postes n'étaient pas dans le même domaine de broadcast. Cette approche a depuis été abandonnée.
Hum, je ne suis finalement pas sûr d'avoir bien compris tout ça. Disons que
le routeur a trois interfaces qu'on appellera WAN, LAN1 et LAN2, et que les
machines locales sont M1 et M2 (reliées resp à LAN1 et LAN2). Disons aussi
que le routeur redirige tout ce qui arrive sur WAN pour le port 80 vers M1.
Pourquoi trois interfaces ? La plupart des routeurs SOHO/domestiques
n'ont que deux interfaces, LAN et WAN. Les ports du switch intégrés et
l'interface wifi ne compte que pour une interface (LAN).
Quand M1 envoie un paquet pour l'adresse de WAN, celui-ci arrive d'abord sur
l'interface LAN2 du routeur, non ? Comment ça se fait qu'ensuite le paquet
est ré-orienté vers M2 ? ... Ah, je crois que je comprends en écrivant : en
fait, pour le routeur, la règle n'est pas de réorienter vers M2 les paquets
qui arrivent sur WAN pour le port 80, mais ceux qui ont l'adresse de WAN
comme adresse de destination ?
Ça dépend comment la redirection est réalisée. Les deux cas doivent
exister. Si la redirection est basée sur l'interface d'entrée, il est
clair qu'elle est inopérante sur les connexions provenant du LAN. De
fait, la redirection d'une connexion provenant du LAN ne fonctionne pas
avec tous les routeurs, soit parce qu'elle ne fonctionne que sur
l'interface WAN, soit parce que le routeur ne modifie pas l'adresse
source de la connexion avant de renvoyer les paquets sur le LAN.
Et quand justement il les voit arriver par
LAN2 au lieu de WAN, il comprend que là il faut trafiquer les IP sources à
l'aller et au retour pour que tout se passe bien ?
La décision de trafiquer l'adresse source à l'aller peut être basée sur
l'interface d'entrée (LAN) ou sur l'adresse source originelle (dans le
sous-réseau du LAN). La encore, ça dépend de l'implémentation.
En fait, il y a deux trucs qui ne sont pas clairs non plus pour moi : toutes
les interfaces du routeur sur le réseau local ont la même IP en fait : ce
n'est pas un peu bizarre comme truc ?
En fait ce ne sont pas des interfaces réseau individuelles, ce sont les
ports d'un switch intégré qui est connecté à une seule et même interface
réseau LAN en interne.
Et quand tu dis que si les adresses
n'étaient pas trafiquées la réponse irait directement du serveur au client,
ça me paraît bizarre car le serveur et le client ne sont physiquement
reliés que par l'intermédiaire du routeur, au fond. Donc qu'est-ce que ça
veut dire dans ce cas « aller directement » du serveur au client ?
Les postes du LAN sont directement interconnectés entre eux par le
switch intégré (couche 2 OSI, liaison), sans passer par la fonction
routeur+NAT (couche 3 OSI, réseau). C'est pour cela qu'ils sont dans le
même sous-réseau.
Une des premières versions de Livebox ne suivait pas ce schéma : chaque
port LAN correspondait à une interface réseau distincte, avec une
adresse distincte, un sous-réseau distinct... Du coup les postes
connectés à des ports différents ne pouvaient communiquer qu'à travers
la fonction routeur de la Livebox, ce qui posait des problèmes notamment
avec le voisinage réseau Windows car les postes n'étaient pas dans le
même domaine de broadcast. Cette approche a depuis été abandonnée.
Hum, je ne suis finalement pas sûr d'avoir bien compris tout ça. Disons que le routeur a trois interfaces qu'on appellera WAN, LAN1 et LAN2, et que les machines locales sont M1 et M2 (reliées resp à LAN1 et LAN2). Disons aussi que le routeur redirige tout ce qui arrive sur WAN pour le port 80 vers M1.
Pourquoi trois interfaces ? La plupart des routeurs SOHO/domestiques n'ont que deux interfaces, LAN et WAN. Les ports du switch intégrés et l'interface wifi ne compte que pour une interface (LAN).
Quand M1 envoie un paquet pour l'adresse de WAN, celui-ci arrive d'abord sur l'interface LAN2 du routeur, non ? Comment ça se fait qu'ensuite le paquet est ré-orienté vers M2 ? ... Ah, je crois que je comprends en écrivant : en fait, pour le routeur, la règle n'est pas de réorienter vers M2 les paquets qui arrivent sur WAN pour le port 80, mais ceux qui ont l'adresse de WAN comme adresse de destination ?
Ça dépend comment la redirection est réalisée. Les deux cas doivent exister. Si la redirection est basée sur l'interface d'entrée, il est clair qu'elle est inopérante sur les connexions provenant du LAN. De fait, la redirection d'une connexion provenant du LAN ne fonctionne pas avec tous les routeurs, soit parce qu'elle ne fonctionne que sur l'interface WAN, soit parce que le routeur ne modifie pas l'adresse source de la connexion avant de renvoyer les paquets sur le LAN.
Et quand justement il les voit arriver par LAN2 au lieu de WAN, il comprend que là il faut trafiquer les IP sources à l'aller et au retour pour que tout se passe bien ?
La décision de trafiquer l'adresse source à l'aller peut être basée sur l'interface d'entrée (LAN) ou sur l'adresse source originelle (dans le sous-réseau du LAN). La encore, ça dépend de l'implémentation.
En fait, il y a deux trucs qui ne sont pas clairs non plus pour moi : toutes les interfaces du routeur sur le réseau local ont la même IP en fait : ce n'est pas un peu bizarre comme truc ?
En fait ce ne sont pas des interfaces réseau individuelles, ce sont les ports d'un switch intégré qui est connecté à une seule et même interface réseau LAN en interne.
Et quand tu dis que si les adresses n'étaient pas trafiquées la réponse irait directement du serveur au client, ça me paraît bizarre car le serveur et le client ne sont physiquement reliés que par l'intermédiaire du routeur, au fond. Donc qu'est-ce que ça veut dire dans ce cas « aller directement » du serveur au client ?
Les postes du LAN sont directement interconnectés entre eux par le switch intégré (couche 2 OSI, liaison), sans passer par la fonction routeur+NAT (couche 3 OSI, réseau). C'est pour cela qu'ils sont dans le même sous-réseau.
Une des premières versions de Livebox ne suivait pas ce schéma : chaque port LAN correspondait à une interface réseau distincte, avec une adresse distincte, un sous-réseau distinct... Du coup les postes connectés à des ports différents ne pouvaient communiquer qu'à travers la fonction routeur de la Livebox, ce qui posait des problèmes notamment avec le voisinage réseau Windows car les postes n'étaient pas dans le même domaine de broadcast. Cette approche a depuis été abandonnée.
mpg
Le (on) mardi 15 janvier 2008 17:18, Pascal Hambourg a écrit (wrote) :
Pourquoi trois interfaces ? La plupart des routeurs SOHO/domestiques n'ont que deux interfaces, LAN et WAN. Les ports du switch intégrés et l'interface wifi ne compte que pour une interface (LAN).
Ah bah c'est ça qui m'avait échappé.
[snip autres explications éclairantes]
Les postes du LAN sont directement interconnectés entre eux par le switch intégré (couche 2 OSI, liaison), sans passer par la fonction routeur+NAT (couche 3 OSI, réseau). C'est pour cela qu'ils sont dans le même sous-réseau.
Oki, je crois que c'est maintenant claire dans ma tête. Merci pour toutes
ces explications.
Manuel.
Le (on) mardi 15 janvier 2008 17:18, Pascal Hambourg a écrit (wrote) :
Pourquoi trois interfaces ? La plupart des routeurs SOHO/domestiques
n'ont que deux interfaces, LAN et WAN. Les ports du switch intégrés et
l'interface wifi ne compte que pour une interface (LAN).
Ah bah c'est ça qui m'avait échappé.
[snip autres explications éclairantes]
Les postes du LAN sont directement interconnectés entre eux par le
switch intégré (couche 2 OSI, liaison), sans passer par la fonction
routeur+NAT (couche 3 OSI, réseau). C'est pour cela qu'ils sont dans le
même sous-réseau.
Oki, je crois que c'est maintenant claire dans ma tête. Merci pour toutes
Le (on) mardi 15 janvier 2008 17:18, Pascal Hambourg a écrit (wrote) :
Pourquoi trois interfaces ? La plupart des routeurs SOHO/domestiques n'ont que deux interfaces, LAN et WAN. Les ports du switch intégrés et l'interface wifi ne compte que pour une interface (LAN).
Ah bah c'est ça qui m'avait échappé.
[snip autres explications éclairantes]
Les postes du LAN sont directement interconnectés entre eux par le switch intégré (couche 2 OSI, liaison), sans passer par la fonction routeur+NAT (couche 3 OSI, réseau). C'est pour cela qu'ils sont dans le même sous-réseau.
Oki, je crois que c'est maintenant claire dans ma tête. Merci pour toutes
