2. Architecture réseau étudiée et filtrage

Les manipulations sur le système de filtrage réseau présentées ici s'appuient sur la topologie Hub and Spoke étudiée dans le support précédent de la série : Topologie Hub & Spoke avec le protocole PPPoE.

La topologie étudiée associe trois routeurs qui ont deux rôles distincts.

Routeur central, Hub, Broadband Remote Access Server, BRAS

Ce routeur réalise une interconnexion LAN/WAN. Il fournit un accès Internet aux routeurs de sites distants via ses interfaces WAN. Il dispose de son propre accès Internet via son interface LAN.

Routeur d'extrémité, Spoke, Customer Premises Equipment, CPE

Ce routeur réalise aussi une interconnexion LAN/WAN. À la différence du routeur Hub, il obtient l'accès Internet sur son interface WAN et il met cet accès à disposition d'un réseau local de site représenté par des conteneurs LXD.

Routage et traduction d'adresses (situation de départ)

Les manipulations qui suivent supposent que la topologie Hub & Spoke est en place et fonctionnelle. On s'appuie sur le support précédent de la série : Topologie Hub & Spoke avec le protocole PPPoE

  • Le routeur Hub doit s'assurer que le trafic réseau qu'il route vers et depuis l'Internet correspond bien au plan d'adressage défini. Dans ce but, il attribue les adresses du lien point à point ainsi qu'une route statique à destination du réseau d'extrémité distant.

    Le routeur Hub assure la traduction des adresses sources du réseau distant vers l'Internet.

  • Le routeur Spoke doit obtenir son adresse IPv4 de réseau étendu via PPP et assurer le routage de son réseau local. Il dispose d'une route par défaut qui désigne le lien point à point comme seul accès vers l'Internet.

Les questions ci-dessous ont pour objectif de valider le fonctionnement du routage et de la traduction des adresses sources en sortie du routeur Hub vers l'Internet.

Q1.

Comment tracer le chemin suivi par les paquets IPv4 et IPv6 d'un conteneur à un autre conteneur du site distant de l'autre branche de la topologie ?

Rechercher le paquet contenant la commande tracepath qui permet d'afficher le chemin suivi par le trafic réseau.

Q2.

Comment caractériser la traduction d'adresses source en sortie du routeur Hub ?

La fonction de traduction d'adresse entre dans cadre du filtrage réseau et fait appel aux mêmes outils : netfilter/iptables.

Rechercher le paquet qui contient la commande conntrack puis rechercher les options de cette commande qui permettent d'afficher les états des enregistrements de la table NAT.