WEBSHARE 243WM
APPENDICE B
Filtrage de paquets
I
Le Router possède un système sophistiqué de Packet Filter qu’il utilise pour examiner le trafic qui le traverse. De cette manière, il est possible en connaissant les caractéristiques des paquets IP associés aux services les plus communs, d’effectuer les filtrages de façon correcte. Dans cet appendice, on verra comment les paquets d’un service peuvent changer.
On utilisera les conventions suivantes:
•
BLEU
pour indiquer une INVERSION
•
ROUGE
pour indiquer un CHANGEMENT
Pour mieux comprendre les changements qu’un paquet IP subit, imaginons les conditions suivantes:
• NAT actif
• PC(X) de la LAN avec IP 192.168.1.X
• Router avec LAN IP 192.168.1.254
On considère le cas ou le PC(X) veuille voir un site WEB. On va suivre en détail les paquets, pendant les différentes étapes.
Il y a 2 phases: résolution de l’URL (cette valeur pourrait être récupérée en cache ou fournie par des programmes appropriés) et construction de la connexion TCP avec le site WEB.
Le premier paquet est envoyé par le PC(X) (avec IP 192.168.1.X) vers le serveur DNS pour demander la résolution de l’URL cherchée.
Direction ordinateur-
Router[Sortant]
P
IP Expéditeur
IP Destination
192.168.1.X
IP du Server DNS
Paquet contenu
Port Expéditeur
Type UDP
C
U
D
P
Port Destination 53
Ce paquet sortant arrive au Router qui le NAT étant activé, en change l’adresse de l’expéditeur en y mettant son adresse Publique et le renvoi au serveur DNS.
Direction Router-Internet[Sortant]
I
P
IP Expéditeur
IP Destination
IP coté WAN du Router
IP du Server DNS
Paquet contenu
Porte Expéditeur
Type UDP
C
U
D
P
Porte Destination 53
Arrivé au serveur DNS, le paquet retourne au Router, y sont intervertis au niveau IP, les champs expéditeur et destination, au niveau UDP les ports.
88
I
WEBSHARE 243WM
Direction Internet-Router[Entrante]
P
IP Expéditeur
IP Destination
IP du Server DNS
IP coté WAN du Router
Paquet contenu
Porte Expéditeur
Type UDP
53
U
D
P
Porte Destination
C
Arrivé au Router, le paquet est examiné et envoyé à l’IP de début.
I
Direction Internet-Router[Entrante]
IP Expéditeur IP du Server DNS
P
IP Destination
192.168.1.X
Paquet contenu
Porte Expéditeur
Porte Destination
Type UDP
53
C
U
D
P
À ce point, à travers le paquet UDP arrivé, le PC(X) (192.168.1.X) a résolu l’URL et il connaît l’adresse IP associée. Commence donc la phase de construction de la connexion TCP (le protocole TCP en faisant la demande, contrairement à UDP).
Direction ordinateur-
Router[Sortant]
I
P
IP Expéditeur
IP Destination
192.168.1.X
IP URL
Paquet contenu
Porte Expéditeur
Type TCP
K
T
C
P
Porte Destination 80
Ce paquet sortant arrive au Router qui le NAT étant activé, en change l’adresse de l’expéditeur en y mettant son adresse Publique et le renvoi au serveur WEB.
I
Direction Router-Internet[Sortant]
P
IP Expéditeur
IP coté WAN du
Router
IP Destination
Paquet contenu
Porte Expéditeur
IP URL
Type TCP
K
T
C
P
Porte Destination 80
Arrivé au serveur WEB, le paquet retourne au Router, y sont intervertis au niveau IP, les champs expéditeur et destination, au niveau TCP les ports.
89
WEBSHARE 243WM
Direction Paquet Internet- Router
[Entrante]
I
P
IP Expéditeur
IP Destination
Paquet contenu
Porte Expéditeur
Porte Destination
IP URL
IP coté WAN du Router
Type TCP
80
T
C
P
K
Arrivé au Router, le paquet est examiné et renvoyé à l’IP de l’expéditeur.
Direction Routerordinateur[Entrante]
I
P
IP Expéditeur
IP Destination
IP URL
192.168.1.X
Paquet contenu
Porte Expéditeur
Type TCP
80
T
C
P
Porte Destination K
On a vu le parcours des paquets et leurs différentes transformations. Dans l’exemple en haut on a utilisé des paramètres C et K. Ce sont des nombres entiers >1024. Dans les protocoles de ports TCP/UDP en fait l’expéditeur parle à un port de destination (sur lequel on écoute le serveur) et il indique un port (le port de l’expéditeur) où il attend la réponse. Le paquet, une fois reçu par le serveur, est renvoyé à l’expéditeur sur le port ou la réponse est attendue. Au niveau IP, le même parcours est effectué.
90
