[gull] Double NAT]

Marc SCHAEFER schaefer at alphanet.ch
Mon Oct 14 10:34:25 CEST 2019


Hello,

Dans ma vision devant le routeur NAT c'est le WAN et derrière c'est le
réseau interne ou LAN.

Dans tous les cas vu le nombre de fabricants je recommande un petit test
avec nc.

En ce qui concerne le nexus: deux adresses IP et deux ports pour la source
et la destination.  Il suffit de changer le numéro de port source dans
le cas le plus classique lorsqu'il y a conflit.

Un conflit survient lorsqu'un nouveau nexus provenant du LAN est modifié
en un nexus envoyé sur le WAN (donc après changement de l'adresse IP source)
est le même qu'un nexus préexistant du WAN ("DMZ" donc NAT statique ou NAT
dynamique du LAN).

Pour répondre plus clairement à ta question originale:

> Comment fonctionne exactement la fonction "DMZ" sur les petits routeurs SOHO?  
Il y en a plein -> vu le nombre de fabricants je recommande un petit test
avec nc.

> Théoriquement, le routeur translate alors toutes les connexions
> entrantes vers une et une seule adresse, désignée sur le LAN

Dans les implémentations que j'ai vues, tu dois indiquer les protocoles
de couche 4 et les numéros de port que tu veux rediriger (NAT/PAT
statique).  Dans ce cas, la règle d'unicité du nexus que j'ai expliquée
s'applique. 

Je n'entre pas trop dans les détails, mais en bref le routeur NAT/PAT
ne peut pas tolérer une création de nexus provenenant du LAN avec un
numéro de port dans la table statique NAT/PAT, pour éviter d'interdire
des connexions ou flux futurs "DMZ" -> il doit réécrire.

D'un autre côté, comme les clients utilisent en général des ports > 1024
et les services plutôt < 1024, les conflits devraient être rares.

S'il n'y a pas de spécification des ports de NAT statique, mais tous
doivent être redirigés, on est alors dans un cas problématique, car
il n'y a potentiellement plus de ports libres pour la réécriture dans
le pire cas. La solution peut alors être de revenir à un vieux mode
où les réécritures de port sources soient systématiques plutôt qu'opportunistes.
Il y aurait alors une plage de port (p.ex. 32768 à 65535) dans laquelle
le "DMZ" ne fonctionnerait pas et qui serait réservée pour les réécritures
du LAN. Cette plage est peut-être configurable.


More information about the gull mailing list