Je me souviens d’un TP qui avait néanmoins semblé trivial: «Configurer l’accès Internet pour un petit réseau local avec une seule adresse IP publique.» À ce moment-là, j’étais confiant. Très confiant. Peut-être un peu trop. J’avais déjà fait du ping, une propriété intellectuelle statique, un peu de routage … donc Nat, franchement, ça devait être une formalité, non?
Et dans ma tête, cela ressemblait à:
«Eh bien, vous mettez une passerelle, vous signalez à l’extérieur, et tout roule!»
ðÿ§ sauf non. Rien ne roulait. Tout était gelé.
Je configure les IP internes.
Je configure la route par défaut.
Je connecte le routeur à «Internet» de TP.
Je fais un ping autour de 8,8.8.8 à partir d’une position…
… et là:
Request timed out.
Bis.
Et encore.
Et encore.
Un peu de frisson. Doute. Syndrome du terminal vide.
ðÿ ”œ J’ai vérifié les câbles.
ðÿ§® J’ai refait les IP.
ðÿ ”J’ai redémarré le routeur.
ðÿ˜¤ J’ai même pensé que le modèle virtuel avait été bu.
Mais non. Tout était juste… Sauf que cela n’a pas fonctionné.
Et c’est là que l’entraîneur est allé derrière moi, en regardant ma configuration. Il plissa les yeux, puis dit avec ce petit sourire de “ça te fera du mal mais tu apprendra”:
«Vous avez tout fait bien. Mais… comment voulez-vous qu’une adresse IP privée sorte sur Internet sans Nat?»
ðÿ’ ¡le clic: une seule propriété intellectuelle pour les gouverner tous
Quand il a dit “sans Nat”, j’ai levé les yeux comme si j’avais entendu un mot à Klingon.
“Mais… j’ai mis la passerelle, non ? Ça devrait marcher…”
Et c’est là qu’il est sorti La métaphore qui a changé ma vie:
«Imaginez que vous êtes dans un bâtiment avec 50 personnes.
Il n’y a qu’un seul téléphone à appeler à l’extérieur.
Quand quelqu’un veut appeler, il passe par la réception.
Et quand quelqu’un appelle en retour, c’est la réception qui redirige vers la bonne personne.
Eh bien Nat, c’est cette réception. “
ðÿ§ Boum.
Tout a éclairé.
En fait, j’avais 50 machines avec des IP privés, comme 192.168.1.xqui sont comme des numéros internes dans une entreprise. Mais pour sortir sur Internet – qui ne comprend que les adresses publiques – il a fallu une sorte de traducteur. Un filtre. UN Nat.
Et le plus fort est que NAT ne se contente pas de traduire les adresses IP.
Il utilise également Numéros de port TCP / UDP À suivre qui a demandé quoi.
C’est comme si chaque machine interne avait un badge unique qu’il faut noter pour lui donner la bonne réponse.
Nous parlons de traduction ici Niveau 3 (IP)mais aussi Niveau 4 (port). Et c’est ce duo qui permet à plusieurs machines de partager une seule adresse publique sans tout le mélange.
Et ce traducteur, il travaille à la frontière. Il prend un paquet, il le regarde et il dit:
«Vous, vous venez de 192.168.1.12, mais je vous ferai passer pour moi: 82.145.22.91.
Et quand la réponse arrivera, je saurai que c’est pour vous. “
ðÿ “„ Traduction d’adressage, masquage, redirection: Tout cela dans un mécanisme invisible mais vital.
Et là, j’ai compris: Ce n’était pas un détail. C’était le cœur de la chose.
Sans Nat, impossible de sortir.
Avec Nat, les machines privées deviennent des caméléons: ils sortent tous sous le même masque.
ðÿ§ª et là … ça a fonctionné. Enfin.
Nous avons configuré le NAT, en suivant les instructions du formateur:
Une commande, deux options, une interface dedans, une extérieur.
ip nat inside source list 1 interface Gig0/1 overload
Et puis … miracle.
Je relance le ping à 8,8.8.8.
Reply from 8.8.8.8: bytes=32 time=12ms TTL=119
ðÿ ¢ boum. Round vert. Ping OK. Internet atteint.
ðÿ§ Ce que nous venions de faire, il y avait un type très spécifique de Nat: le TAPOTERou Nat surcharge.
De toute évidence, nous utilisons une seule adresse IP publique Pour plusieurs machines internes, et chaque session se distingue avec le numéros de port.
Mais il existe d’autres formes de NAT:
– Nat statique : Une IP privée correspond toujours à une IP publique, 1: 1.
– Dynamique : Nous nous tirons dans un pool d’adresses publiques au besoin.
– Pat (celui que nous avons fait) : Tout le monde sort avec La même IPEt c’est le port source qui permet au routeur de tout suivre.
Mais ce jour-là, tout ce que je voulais, c’était ça marche. Et cela a fonctionné.
Sur d’autres messages, le même. Tout le monde accède au Web avec cette adresse IP publique unique.
C’était magique. Et en même temps, C’était logique.
Nous avions littéralement un seul «ticket» que nous partageons à sortir, et Nat a joué le rôle du Passe-part du chef d’orchestre.
Et là, une autre révélation de l’entraîneur:
«Nat ne doit pas seulement sortir sur Internet.
C’est aussi pour Vérifiez qui peut sortirET Qui peut entrer.
Avec NAT statique ou dynamique, vous pouvez également rediriger les services internes, tels qu’un serveur Web local vers l’extérieur. “
Bien sûr, ce n’est pas un pare-feu à proprement parler.
Mais comme il briser la connexion initialeIl joue le rôle de mur invisible : Rien ne correspond si rien n’est sorti.
ðÿ§ Nouveau choc.
Je venais de passer d’un petit ping de test à un véritable outil deadministration de réseau, filtration, sécuritéET architecture.
ðÿ “„ Le jour où j’ai mal configuré Nat (et tout est tombé)
De toute évidence, je voulais refaire moi-même. Reproduisez TP, montrez que j’ai compris. Trop sûr de moi, j’ai laissé la tête baissée.
Et là… la panne totale.
ping 8.8.8.8 → Request timed out
Encore?
ping 8.8.8.8 → KO
ðÿ˜¤ “Mais pourquoi ?!”
Je reviens à ma configuration. Tout a l’air bien. J’ai relu la commande NAT, je vérifie les ACL, et là …
Je vois l’erreur du débutant:
J’avais inversé les interfaces.
J’avais mis ip nat outside sur l’interface LAN, et ip nat inside Sur l’interface Internet.
ðÿ§ Résultat? Nat ne savait pas quelle direction traduire. C’est comme les douanes où les entrées et sorties sont inversées. Personne ne bouge.
Et ce jour-là, j’ai appris une grande leçon:
ðÿ ›’ Avec Nat, il ne suffit pas de «faire» – vous devez penser à la signification.
-
Qui est à l’intérieur?
-
Qui est à l’extérieur?
-
Qui initie la communication?
-
Quelle interface est
inside? Qui estoutside?
Et surtout:
ðÿž¯ Vérifiez toujours ses ACL. Parce que si le access-list est gravement écrit, aucun trafic ne sera «apparié», donc NAT ne s’appliquera pas.
Depuis ce tp, je TOUT DOUBLE :
-
Les interfaces à l’intérieur / à l’extérieur Âœ…
-
Les routes par défaut …
-
ACLS pour Nat Âœ …
-
Et surtout, la connectivité teste avant et après Âœ …
Parce que Nat est puissant. Mais mal configuré? C’est un mur invisible. Et c’est vous qui vous frappe.
ð conclusion
Ce jour-là, je n’ai pas seulement appris à «faire Nat».
J’ai compris ce que c’était, profondément.
J’ai compris cela dans un monde où Tout le monde veut sortirParfois, vous avez besoin d’un traducteur, d’un filtre, d’un gardien des passages.
Et aujourd’hui, quand je pense à Nat, je ne pense plus à une ligne de configuration.
Je pense à un Réception dans un bâtimentà un Pont entre deux mondesà un Network Cameleon.
Je vois les machines privées lever la main et dire:
«Je veux sortir!»
Et Nat qui répond:
“Ok, mais tu me passe par moi. Je gére.”
ðÿ§ Je ne vois qu’une seule adresse publique comme un façade d’entreprise,
Et derrière, un monde entier organisé, invisible, protégé.
Et je me dis avec un petit sourire:
«C’est fou car trois lettres peuvent connecter un réseau entier au monde entier.»
ðÿ «œ Si cet article vous a aidé à mieux comprendre NAT, imaginez ce que vous pouvez faire avec d’autres concepts de réseau.
ðÿ ” partagez-le avec un camarade qui a encore du mal avec son ping.
ðÿ »Et si vous ne l’avez pas encore lu, jetez un œil à mon article précédent sur les VLAN. C’est là que tout a commencé!
Hosting
Game Center
Game News
Review Film
Berita Terkini
Berita Terkini
Berita Terkini
review anime