Post on 04-Apr-2015
routage
M6 module réseaux
Mars 2003
Région PACA www.up.univ-mrs.fr/ www.mediterranee.univ-mrs.fr/ jupiter.u-3mrs.fr/~ www.univ-avignon.fr/ www.unice.fr/ www.univ-tln.fr/ www.dr20.cnrs.fr/ www.inria.fr/Unites/SOPHIA-fra.html www-cad.cea.fr/ www.obs-hp.fr/ www.aix-mrs.iufm.fr/ www.iufm.unice.fr/ www.ac-aix-marseille.fr/ www.ac-nice.fr/
une route utv---uk 1 blackdiamond (10.1.1.1) 0 ms 1 ms 0 ms 2 c7200 (192.168.6.2) 1 ms 0 ms 1 ms 3 194.214.66.30 (194.214.66.30) 1 ms 1 ms 2 ms 4 routeur-ft-coeur-toulon (194.214.246.33) 2 ms 1 ms 2 ms 5 routeur-ft-coeur-marseille1 (194.214.68.17) 2 ms 2 ms 2 ms 6 routeur-ft-coeur-marseille2 (194.214.68.2) 3 ms 2 ms 2 ms 7 marseille-a0-1-3.cssi.renater.fr (193.51.181.22) 3 ms 3 ms 3 ms 8 lyon-pos14-0.cssi.renater.fr (193.51.179.221) 8 ms 9 ms 9 ms 9 nri-b-pos5-0.cssi.renater.fr (193.51.179.129) 16 ms 17 ms 17 ms10 renater.fr1.fr.geant.net (62.40.103.53) 17 ms 17 ms 17 ms11 fr.uk1.uk.geant.net (62.40.96.90) 23 ms 23 ms 24 ms12 janet-gw.uk1.uk.geant.net (62.40.103.150) 23 ms 24 ms 23 ms13 lond-scr3.ja.net (146.97.37.81) 24 ms 23 ms 25 ms14 po6-0.lond-scr.ja.net (146.97.33.9) 23 ms 24 ms 23 ms15 po0-0.cambridge-bar.ja.net (146.97.35.10) 28 ms 28 ms 28 ms16 route-enet-3.cam.ac.uk (146.97.40.50) 28 ms 27 ms 28 ms17 route-cent-3.cam.ac.uk (192.153.213.194) 28 ms 28 ms 28 ms18 aquila.csx.cam.ac.uk (131.111.8.74) 28 ms 28 ms 28 ms
routage
Les réseaux sont reliés entre eux par des routeurs caractérisés par plusieurs interfaces.
Les routeurs disposent de plusieurs adresses ip et plusieurs adresses physiques : 1 adresse physique par interface 1 adresse ip par réseau.
Ils sont chargés de l’acheminement des paquets ip.
table de routage
Les routeurs décident de la route à faire suivre aux paquets ip par consultation d’une table de routage.
La maintenance des tables de routages est une opération fondamentale. Elle peut être manuelle, statique ou dynamique.
datagramme IP
@destination @source IP0800 CRC
longueurV
identification
checksum
tos
offset
TTL proto.
adresse IP source
adresse IP destination
options
L
données
M D0
112.23.0.0
12.1.0.0 132.12.0.0
21.64.0.0
12.1.9.18
21.1.7.12
21.128.0.0RA
RB
112.23.1.1
21.1.1.2
12.1.0.1
112.23.1.2
table de routage de RB
destination routeur
21.0.0.0 112.23.1.1
0.0.0.0 12.1.1.1
21.64.7.12
table de routage
réseau interface
21.128.0.0 eth0
21.64.0.0 eth1
méthode de routage
extraire adresseIP destinataire
adresselocale
le paquet est arrivé
destinationaccessible
utiliser la tablede routage pourdéterminer le
prochain routeur déterminer adresse physique et transmettre surl’interface adéquat
route par défaut
La classe d’une adresse IP permet de déterminer la partie réseau d’une adresse
De la table de routage on peut déduire trois types de routes : une route explicite vers l’hôte une route vers un réseau une route par défaut
Cl. min max taille
A 0 127 1
B 128 191 2
C 192 223 3
hôtes et routeursutilisent la même méthode de routage.
fichiers et commandes
/etc/networks : nom de réseau route : manipulation des tables de
routage ifconfig : configuration des interfaces netstat : état des connexions réseaux iptables: manipulation des adresses
filtrage des paquets
un exemple pratique
internetinternetmodem
interfaces :l0 et eth0
% ifconfig eth0eth0 Lien encap:Ethernet HWaddr 00:60:97:71:69:A4inet adr:10.1.65.2 Bcast:10.1.255.255 Masque:255.255.0.0UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1Paquets Reçus:0 erreurs:0 jetés:0 débordements:0 trames:0Paquets transmis:0 erreurs:0 jetés:0 débordements:0 carrier:0collisions:0 lg file transmission:100 Interruption:5 Adresse de base:0x280 Canal DMA:3 % routeTable de routage IP du noyauDestination Passerelle Genmask Indic Metric Ref Use Iface10.1.0.0 * 255.255.0.0 U 0 0 0 eth0127.0.0.0 * 255.0.0.0 U 0 0 0 lo
exemple pratique (suite)
internetinternetmodem
interfaces :l0 et eth0
ppp0
% ifconfig ppp0ppp0 Lien encap:Protocole Point-à-Pointinet adr:62.147.79.194 P-t-P:192.168.254.254 Masque:255.255.255.255UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1Paquets Reçus:20 erreurs:0 jetés:0 débordements:0 trames:0Paquets transmis:21 erreurs:0 jetés:0 débordements:0 carrier:0collisions:0 lg file transmission:3 % routeTable de routage IP du noyauDestination Passerelle Genmask Indic Metric Ref Use Iface192.168.254.254 * 255.255.255.255 UH 0 0 0 ppp010.1.0.0 * 255.255.0.0 U 0 0 0 eth0127.0.0.0 * 255.0.0.0 U 0 0 0 lodefault 192.168.254.254 0.0.0.0 UG 0 0 0 ppp0% ping rhodes.univ-tln.frPING rhodes.univ-tln.fr (193.49.96.1) from 62.147.79.194 : 56(84) bytes of data.From 194.214.66.29: Packet filteredFrom 194.214.66.29: Packet filtered
internetinternetmodem
10.1.0.0
10.1.65.2
10.1.65.1
62.147.79.194 Il faut autoriser le transfert des paquets entre les interfaces ppp0 et eth0
routage niveau hôte
ROUTAGE
PROCESSUS
PRE-ROUTAGE POST-ROUTAGETRANSFERT
ROUTAGE
ENTREE SORTIE
chaines de filtrage
INPUT
OUTPUT
FORWARD
Un ensemble de règles pourfiltrer les paquets
chaines de translation
PREROUTING
POSTEROUTING
OUTPUT
Un ensemble de règles pour« changer » les adresses ip
source et destination
@ TRANSLATION
La connexion du réseau privé au réseau public est réalisée grâce aux translations d’adresses
socket source port
portsocket destin.
passerelle
NAT
La translation de source permet aux hôtes du réseau privé de sortir vers l’extérieur.
La translation d’adresse de destination permet aux hôtes Internet de rentrer dans le réseau privé.
$ /sbin/ipchains -A forward -s 10.1.74.0/24 -j MASQ
% routeTable de routage IP du noyauDestination Passerelle Genmask Indic Metric Ref Use Iface172.16.173.0 * 255.255.255.0 U 0 0 0 vmnet110.1.0.0 * 255.255.0.0 U 0 0 0 eth0127.0.0.0 * 255.0.0.0 U 0 0 0 lodefault 10.1.65.2 0.0.0.0 UG 0 0 0 eth0
$ netstat -MEntrées IP Masqueradeprot expire source destination portsicmp 0:29.44 10.1.74.93 rhodes.univ-tln.fr 7174 -> 2048 (*)
% route add default gw 10.1.65.2
% ping rhodes PING rhodes.univ-tln.fr (193.49.96.1) from 62.147.79.194 : 56(84) bytes of data. From 194.214.66.29: Packet filtered
iptables
$ iptables –F vider les chaines$ iptables –X destruction des chaines utilisateurs$ iptables –t nat –F idem$ iptables –t nat –X
toutes les chaines sont vides avec la règle ACCEPT
$ iptables –t nat –A POSTROUTING –s 10.1.65.0/24 –o ppp0 –j MASQUERADE
$echo 1 > /proc/sys/net/ipv4/ip_forward
la route vers internet est ouverte
sécurité
Dans l’état le réseau local est ouvert sur Internet, niveau sécurité faible.
Iptables permet de construire des règles de filtrages limiter les accès et augmenter la sécurité.
on ferme toutes les portes
$iptables –F vider les chaines
$iptables –X suppimer les chaines
$iptables –P INPUT DROP
$iptables –P OUTPUT DROP
$iptables –P FORWARD DROP
plus rien ne passe !
$iptables –t nat –F vider les chaines
$iptables –t nat –X suppimer les chaines
$iptables -t nat -P PREROUTING ACCEPT
$iptables –t nat –P POSTROUTING ACCEPT
$iptables –t nat –P OUTPUT ACCEPT
À ce stade, rien ne passe.
Il faut ouvrir quelques portes
$iptables –A INPUT –i lo –j ACCEPT
$iptables –A OUTPUT –o lo –j ACCEPT
idem avec eth ?
$iptables –A INPUT –i etho –j ACCEPT
$iptables –A OUTPUT –o etho –j ACCEPT
Le réseau local est toujours coupé du monde car la chaîne FORWARD ne laisse rien passer.
masquage
$iptables -t nat -A POSTROUTING –s 10.1.65.0/24 –o ppp0 -j MASQUERADE
À ce stade, rien ne passe.
$iptables –A FORWARD –i etho –o ppp0 -m state –state NEW, ESTABLISHED, RELATED
–j ACCEPT$iptables –A FORWARD –i ppp0 –o etho
-m state –state ESTABLISHED, RELATED –j ACCEPT
protocoles de routage
table de routage de
destination routeur
protocoles de routage
routage interne
routage externe