routage

M6 module réseaux

Mars 2003

Région PACA www.up.univ-mrs.fr/ www.mediterranee.univ-mrs.fr/ jupiter.u-3mrs.fr/~ www.univ-avignon.fr/ www.unice.fr/ www.univ-tln.fr/ www.dr20.cnrs.fr/ www.inria.fr/Unites/SOPHIA-fra.html www-cad.cea.fr/ www.obs-hp.fr/ www.aix-mrs.iufm.fr/ www.iufm.unice.fr/ www.ac-aix-marseille.fr/ www.ac-nice.fr/

une route utv---uk 1 blackdiamond (10.1.1.1) 0 ms 1 ms 0 ms 2 c7200 (192.168.6.2) 1 ms 0 ms 1 ms 3 194.214.66.30 (194.214.66.30) 1 ms 1 ms 2 ms 4 routeur-ft-coeur-toulon (194.214.246.33) 2 ms 1 ms 2 ms 5 routeur-ft-coeur-marseille1 (194.214.68.17) 2 ms 2 ms 2 ms 6 routeur-ft-coeur-marseille2 (194.214.68.2) 3 ms 2 ms 2 ms 7 marseille-a0-1-3.cssi.renater.fr (193.51.181.22) 3 ms 3 ms 3 ms 8 lyon-pos14-0.cssi.renater.fr (193.51.179.221) 8 ms 9 ms 9 ms 9 nri-b-pos5-0.cssi.renater.fr (193.51.179.129) 16 ms 17 ms 17 ms10 renater.fr1.fr.geant.net (62.40.103.53) 17 ms 17 ms 17 ms11 fr.uk1.uk.geant.net (62.40.96.90) 23 ms 23 ms 24 ms12 janet-gw.uk1.uk.geant.net (62.40.103.150) 23 ms 24 ms 23 ms13 lond-scr3.ja.net (146.97.37.81) 24 ms 23 ms 25 ms14 po6-0.lond-scr.ja.net (146.97.33.9) 23 ms 24 ms 23 ms15 po0-0.cambridge-bar.ja.net (146.97.35.10) 28 ms 28 ms 28 ms16 route-enet-3.cam.ac.uk (146.97.40.50) 28 ms 27 ms 28 ms17 route-cent-3.cam.ac.uk (192.153.213.194) 28 ms 28 ms 28 ms18 aquila.csx.cam.ac.uk (131.111.8.74) 28 ms 28 ms 28 ms

routage

Les réseaux sont reliés entre eux par des routeurs caractérisés par plusieurs interfaces.

Les routeurs disposent de plusieurs adresses ip et plusieurs adresses physiques : 1 adresse physique par interface 1 adresse ip par réseau.

Ils sont chargés de l’acheminement des paquets ip.

table de routage

Les routeurs décident de la route à faire suivre aux paquets ip par consultation d’une table de routage.

La maintenance des tables de routages est une opération fondamentale. Elle peut être manuelle, statique ou dynamique.

datagramme IP

@destination @source IP0800 CRC

longueurV

identification

checksum

tos

offset

TTL proto.

adresse IP source

adresse IP destination

options

L

données

M D0

112.23.0.0

12.1.0.0 132.12.0.0

21.64.0.0

12.1.9.18

21.1.7.12

21.128.0.0RA

RB

112.23.1.1

21.1.1.2

12.1.0.1

112.23.1.2

table de routage de RB

destination routeur

21.0.0.0 112.23.1.1

0.0.0.0 12.1.1.1

21.64.7.12

table de routage

réseau interface

21.128.0.0 eth0

21.64.0.0 eth1

méthode de routage

extraire adresseIP destinataire

adresselocale

le paquet est arrivé

destinationaccessible

utiliser la tablede routage pourdéterminer le

prochain routeur déterminer adresse physique et transmettre surl’interface adéquat

route par défaut

La classe d’une adresse IP permet de déterminer la partie réseau d’une adresse

De la table de routage on peut déduire trois types de routes : une route explicite vers l’hôte une route vers un réseau une route par défaut

Cl. min max taille

A 0 127 1

B 128 191 2

C 192 223 3

hôtes et routeursutilisent la même méthode de routage.

fichiers et commandes

/etc/networks : nom de réseau route : manipulation des tables de

routage ifconfig : configuration des interfaces netstat : état des connexions réseaux iptables: manipulation des adresses

filtrage des paquets

un exemple pratique

internetinternetmodem

interfaces :l0 et eth0

% ifconfig eth0eth0 Lien encap:Ethernet HWaddr 00:60:97:71:69:A4inet adr:10.1.65.2 Bcast:10.1.255.255 Masque:255.255.0.0UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1Paquets Reçus:0 erreurs:0 jetés:0 débordements:0 trames:0Paquets transmis:0 erreurs:0 jetés:0 débordements:0 carrier:0collisions:0 lg file transmission:100 Interruption:5 Adresse de base:0x280 Canal DMA:3 % routeTable de routage IP du noyauDestination Passerelle Genmask Indic Metric Ref Use Iface10.1.0.0 * 255.255.0.0 U 0 0 0 eth0127.0.0.0 * 255.0.0.0 U 0 0 0 lo

exemple pratique (suite)

internetinternetmodem

interfaces :l0 et eth0

ppp0

% ifconfig ppp0ppp0 Lien encap:Protocole Point-à-Pointinet adr:62.147.79.194 P-t-P:192.168.254.254 Masque:255.255.255.255UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1500 Metric:1Paquets Reçus:20 erreurs:0 jetés:0 débordements:0 trames:0Paquets transmis:21 erreurs:0 jetés:0 débordements:0 carrier:0collisions:0 lg file transmission:3 % routeTable de routage IP du noyauDestination Passerelle Genmask Indic Metric Ref Use Iface192.168.254.254 * 255.255.255.255 UH 0 0 0 ppp010.1.0.0 * 255.255.0.0 U 0 0 0 eth0127.0.0.0 * 255.0.0.0 U 0 0 0 lodefault 192.168.254.254 0.0.0.0 UG 0 0 0 ppp0% ping rhodes.univ-tln.frPING rhodes.univ-tln.fr (193.49.96.1) from 62.147.79.194 : 56(84) bytes of data.From 194.214.66.29: Packet filteredFrom 194.214.66.29: Packet filtered

internetinternetmodem

10.1.0.0

10.1.65.2

10.1.65.1

62.147.79.194 Il faut autoriser le transfert des paquets entre les interfaces ppp0 et eth0

routage niveau hôte

ROUTAGE

PROCESSUS

PRE-ROUTAGE POST-ROUTAGETRANSFERT

ROUTAGE

ENTREE SORTIE

chaines de filtrage

INPUT

OUTPUT

FORWARD

Un ensemble de règles pourfiltrer les paquets

chaines de translation

PREROUTING

POSTEROUTING

OUTPUT

Un ensemble de règles pour« changer » les adresses ip

source et destination

@ TRANSLATION

La connexion du réseau privé au réseau public est réalisée grâce aux translations d’adresses

socket source port

portsocket destin.

passerelle

NAT

La translation de source permet aux hôtes du réseau privé de sortir vers l’extérieur.

La translation d’adresse de destination permet aux hôtes Internet de rentrer dans le réseau privé.

$ /sbin/ipchains -A forward -s 10.1.74.0/24 -j MASQ

% routeTable de routage IP du noyauDestination Passerelle Genmask Indic Metric Ref Use Iface172.16.173.0 * 255.255.255.0 U 0 0 0 vmnet110.1.0.0 * 255.255.0.0 U 0 0 0 eth0127.0.0.0 * 255.0.0.0 U 0 0 0 lodefault 10.1.65.2 0.0.0.0 UG 0 0 0 eth0

$ netstat -MEntrées IP Masqueradeprot expire source destination portsicmp 0:29.44 10.1.74.93 rhodes.univ-tln.fr 7174 -> 2048 (*)

% route add default gw 10.1.65.2

% ping rhodes PING rhodes.univ-tln.fr (193.49.96.1) from 62.147.79.194 : 56(84) bytes of data. From 194.214.66.29: Packet filtered

iptables

$ iptables –F vider les chaines$ iptables –X destruction des chaines utilisateurs$ iptables –t nat –F idem$ iptables –t nat –X

toutes les chaines sont vides avec la règle ACCEPT

$ iptables –t nat –A POSTROUTING –s 10.1.65.0/24 –o ppp0 –j MASQUERADE

$echo 1 > /proc/sys/net/ipv4/ip_forward

la route vers internet est ouverte

sécurité

Dans l’état le réseau local est ouvert sur Internet, niveau sécurité faible.

Iptables permet de construire des règles de filtrages limiter les accès et augmenter la sécurité.

on ferme toutes les portes

$iptables –F vider les chaines

$iptables –X suppimer les chaines

$iptables –P INPUT DROP

$iptables –P OUTPUT DROP

$iptables –P FORWARD DROP

plus rien ne passe !

$iptables –t nat –F vider les chaines

$iptables –t nat –X suppimer les chaines

$iptables -t nat -P PREROUTING ACCEPT

$iptables –t nat –P POSTROUTING ACCEPT

$iptables –t nat –P OUTPUT ACCEPT

À ce stade, rien ne passe.

Il faut ouvrir quelques portes

$iptables –A INPUT –i lo –j ACCEPT

$iptables –A OUTPUT –o lo –j ACCEPT

idem avec eth ?

$iptables –A INPUT –i etho –j ACCEPT

$iptables –A OUTPUT –o etho –j ACCEPT

Le réseau local est toujours coupé du monde car la chaîne FORWARD ne laisse rien passer.

masquage

$iptables -t nat -A POSTROUTING –s 10.1.65.0/24 –o ppp0 -j MASQUERADE

À ce stade, rien ne passe.

$iptables –A FORWARD –i etho –o ppp0 -m state –state NEW, ESTABLISHED, RELATED

–j ACCEPT$iptables –A FORWARD –i ppp0 –o etho

-m state –state ESTABLISHED, RELATED –j ACCEPT

protocoles de routage

table de routage de

destination routeur

protocoles de routage

routage interne

routage externe