Re: Comment router le trafic réseau finement
Merci pour le lien vers Quick reference-nftables in (nearly) 10 minutes (https://wiki.nftables.org/wiki-nftables/index.php/Quick_reference-nftables_in_10_minutes).
Commencer par un service de résolution directe et inverse ? (bind)
Oui, mais ne faudrait-il pas d'abord avoir posé le plan d'adressage ?
Ou alors peut-être faire les deux en parallèle.
Le plan d'adressage, oui, comme le plan de la maison qu'on veut bâtir.
Voilà comment je ferais, plus ou moins dans cet ordre non définitif :
1/ lister/définir chaque machine existante ou pressentie (client, serveur, routeur)
et identifier son responsable
2/ lister/définir chaque service de chaque hôte (machine serveur)
et leur lieu connu ou à définir
et les réseaux physiques et équipements réseaux nécessairement implantés sur ces lieux
Il y a toujours un routeur réseau auquel chaque machine est connectée.
= LIEU L1 =
Routeur du lieu L1 hébergé chez untel
Serveur S1 hébergé chez untel
- service de nom
- service vpn
- service proxy
- service web
- service de BD
- service de messagerie
- service de fichier (smb, cifs, nfs...)
= LIEU L2 =
Routeur du lieu L2 hébergé chez bidule
Serveur S2 hébergé chez bidule
- service rsync
- service de sauvegarde autre
...
= LIEU L3 =
Modem FO/routeur avec IP fixe
Modem 4G
Routeur dual wan failover (bascule sur le lien 4G si le lien lien tombe)
Serveur S3
Poste de travail PT1
- client vpn
Poste de travail PT2
- client vpn
etc.
= LIEU Mobilité (hôtel, voiture, gare, etc.)
PT3 + modem 4G/WiFi
etc.
3/ définir l'organisation
cad quelles machines ont besoin d'être reliés pour permettre aux personnes de faire leur travail.
Ex : telles machines ou tels utilisateurs ont le droit d'accéder uniquement via tel vpn au serveur métier n°1 de la comptabilité.
C'est là qu'on pourra choisir de configurer un routage pour sauter de routeur en routeur.
Ou qu'on pourra choisir de configurer un vpn qui correspond à l'organisation choisie pour connecter N machines distribuées en différents lieux au travers des divers réseaux physiques listés en 3/ (abstraits par le VPN)
Rq : on pourrait aussi partir de là en disant ce dont on a besoin pour travailler, puis détailler les services à créer, puis les hôtes qui vont les faire tourner et les dimensionner, puis déterminer leur localisation et leur interconnexion.
4/ Définir les classes de réseaux A/B/C (compatibilité RFC 1918 pour l'interconnexion à internet) et l'adresse IP de chaque machine.
cad donner des noms de rues des numéros aux maisons du quartier qu'on vient de bâtir.
Est-ce que tout ça est suffisant pour définir un plan d'adressage ?
Une fois le plan d'adressage défini, on peut écrire les tables de routage nécessaires pour atteindre telle machine d'adresse IP.
Et les règles de filtrage pour autoriser ou bloquer au cas par cas (FW).
Ou les règles de proxy.
En ce qui concerne les tables de routage.
Elles permettent à chaque routeur de router une requête d'une machine (située sur son réseau à telle adresse IP et via tel port) vers une machine connue par son adresse IP (ou par son nom, auquel cas le serveur de nom donne l'adresse IP), située sur un réseau mitoyen (vu directement par le routeur) ou sur réseau distant qui requiert plusieurs sauts (au moins deux routeurs).
Il y a NAT réalisé par chaque routeur (voire aussi PAT, si on change aussi le port).
La structure d'une table de routage que je connais utilise 4 colonnes.
Voici une table de routage du routeur "local" vu à l'adresse IP 192.168.0.254/24 par la machine d'adresse IP 192.168.0.1/24 située sur ce réseau et qui lui adresse la requête.
| Réseau Destination | Réseau directement connecté | Interface de sortie | Prochain saut |
| 192.168.0.0/24 | Oui | 192.168.0.254/24 | |
| 10.8.0.0/24 | Oui | 10.8.0.1/24 | |
| 192.168.100.0/24 | Non | 10.8.0.1/24 | 10.8.0.2/24 |
J'ai représenté les trois cas possibles :
- zéro saut car la destination est sur le même réseau
- un seul saut via un routeur qui gère 2 réseaux mitoyens (10.8.0.0/24 et 192.168.0.0/24)
- deux sauts ou plus
Chaque machine d'un réseau donné doit connaître l'adresse du routeur auquel elle doit adresser sa requête.
Le routeur saura traiter la requête et faire passer (le paquet IP) à la machine qui lui est aussi connectée sur un autre réseau. Ou au prochain routeur. etc.
Et lui retourner la réponse en retour.
Mon exposé est un peu long, mais il vous permet de savoir ce que je connais/ne connais pas/ou connais mal en réseaux (plan d'adressage et tables routage).
Je rappelle que je fais d'habitude des opérations réseaux simple sur un serveur ou un poste de travail.
Est-ce correct ?
Qu'y a-t-il à corriger ?
A compléter ?
... avant de se lancer dans la pratique.
Merci.
----- Mail original -----
De: "Michel Verdier" <mv524@free.fr>
À: "Liste Debian" <debian-user-french@lists.debian.org>
Envoyé: Lundi 24 Juillet 2023 16:13:08
Objet: Re: Comment router le trafic réseau finement
Le 24 juillet 2023 roger tarani a écrit :
> Plus tard, pourront s'y ajouter un service de nom (bind) et un service de messagerie.
Pour moi il faut que tu commences par poser ton plan d'adressage. Et en
général d'installer bind permet de fixer les choses. Mais bon c'est ma
manière d'aborder ce genre de choses.
> Pour réaliser ça, je suis persuadé qu'il faut parfaitement maîtriser les techniques de routage.
> 2/ Sur le plan pratique, quel ordre dois-je suivre pour écrire les règles de routage sur ce réseau ?
Chaque machine doit juste avoir sa table de routage.
man route
Après si tu as un routeur physique sa table sera sans doute un peu plus
compliquée mais il aura certainement une interface de paramétrage.
Reply to: