2. Architecture réseau étudiée

2.1. Topologie type

La topologie étudiée associe 2 postes avec 2 rôles distincts.

Poste client distant: Ce poste dispose d'un accès Internet sur son interface WAN RNIS. Il offre une connexion sur un réseau local domestique (PAN) via une interface LAN Ethernet.
Routeur serveur d'accès: Ce poste réalise l'interconnexion LAN/WAN. Il offre un accès Internet au poste client via son interface WAN RNIS. Il obtient son propre accès Internet via son interface LAN Ethernet.

        __    cooper.infra.stri   
    ___/  \_        .___.
  _/        \__     |   |    Switch1 - sw1.infra.stri
 /             \eth1| ==|eth0   ___________ / /______
| Internet      |___| ==|_     |_=_=_=_=_=_/ /_=_=_=_|
\_           __/    |  -| \ fa0/1|        / /
  \__     __/       |   |  \____/
     \___/          |   |                              V
                   -------      ___________ / /______  |
                               |_=_=_=_=_=_/ /_=_=_=_| |
                                 |                 \___| 
                             eth0|.....
                                .------,~
                                | PC   |'
                                | _|____
                                \(_______)
                                 |Routeur|
                                 (_______)
                                  / ippp0
                                 /__
                                    /
                                   /
                             ippp0|..... 
                                 .------,~
                                 | PC   |'
                           ______|Client||
                           eth0  \------ /
                                  ======/

Pour les besoins des questions de travaux pratiques ci-après, on se limite à un scénario simple d'utilisation des fonctions de filtrage réseau.

À un premier niveau, le routeur d'accès doit s'assurer que le trafic réseau qu'il route vers l'Internet provient bien de son poste «client» auquel il a attribué une adresse IP via PPP. À un second niveau, le routeur serveur d'accès doit limiter le volume de trafic ICMP pour éviter les éventuels dénis de services liés à ce protocole. Il peut aussi intercepter toutes les requêtes DNS du poste client en exploitant un service de type cache only pour éviter les falsifications de réponses.

À un premier niveau, le poste client distant doit s'assurer que le trafic réseau entrant sur son interface WAN est bien relatif à une demande qui a été émise via cette même interface. À un second niveau, le poste client doit «masquer» son réseau local PAN à l'aide des fonctions de traduction d'adresse source S-NAT. Il doit aussi ouvrir un accès d'administration SSH tout en se protégeant des attaques de type dictionnaire qui consistent à essayer de se connecter au poste avec des milliers de couples login/password connus.

Pour traiter les questions ci-après, il est vivement conseillé de s'appuyer sur la Section 8, « Documents de référence ».

2.2. Plan d'adressage WAN

Le plan d'adressage des liaisons WAN reprend celui du support de travaux pratiques Configurations routeur d'agence & serveur d'accès.

Tableau 1. Plan d'adressage liaisons WAN

Poste routeur NAS	bus	N° tél.	Adresses IP serveur:client	N° tél.	Poste Client distant
asterix	S0.1	104	`192.168.104.1:192.168.104.2`	105	obelix
tintin2	S0.2	106	`192.168.106.1:192.168.106.2`	107	haddock
dupond	S0.3	108	`192.168.108.1:192.168.108.2`	109	tif
hochet	S0.4	110	`192.168.110.1:192.168.110.2`	111	blake
jourdan	S0.5	112	`192.168.112.1:192.168.112.2`	113	mortimer
dupont	S0.6	114	`192.168.114.1:192.168.114.2`	115	danny

Précédent		Suivant
Introduction au filtrage réseau	Sommaire	3. Les outils de filtrage réseau

[inetdoc.LINUX]