INTERNET ET LES

SERVICES RÉSEAUX
Rachid Elazouzi
2025-2026

1
Sources
• Livre Pujolle «Les réseaux», Editions EYROLLES
• Livre Stéphane Lohier et Dominique Présent « Réseaux et
transmission: protocole, infrastructure et services » DUNOS
• Slides Dominique SERET
• Plusieurs images sont tirées du livre de Pujole et du livre de Stéphane
Lohier.

2
Objectif
• Internet
• Problématiques des réseaux
• Modèle TCP/IP
• Couche Internet
• Couche Transport
• Comprendre le role et le fonctionement de services réseaux
• DHCP (configuration automatique des machines)
• SSH (connexion sécurisée)
• HTTP et HTTPs (service web)
• Service messagerie (SMTP, POP and IMAP)
• FTP (transfert des fichiers)
• Savoir comment sécurire le réseau : système/application
3
Travaux pratiques
• TP1 : Conception d’un réseau avec des machines virtuelles
• TP2 : DNS (maitre et esclave)
• TP3 : Serveur Web : Installation et configuration
• TP4 : Sécurité de l'infrastructure réseau et attaques
courantes
• TP5 : Configuration d’un serveur Postfix – Pop – Imap

4
Evaluation
• Examen écrit 50% (Comprend les cours magistraux et les travaux pratiques)
• Présentation orale des TPs 50%
• Présence et avancement durant les séances des TPs 40%
• Il est essentiel de montrer au professeur les progrès que vous avez réalisés dans votre travail
pratique. Par exemple, à chaque séance sauf la première, n'hésitez pas à montrer à
l'enseignant votre travail de la session précédente.
• Présentation orale des TPs 20% :
• Durant le dernière séance, je vous demanderai de me présenter vos realisation pour tous les
TPs. La note est basée sur le travail réalisé et la capacité de répondre aux questions de
l’enseignant.
• Examen TP écrit 40%
• •Chaque année, certains étudiants affirment qu'ils n'ont pas été informés
de l'évaluation prévue dans cette unité d'enseignement (Questionnaire)

5
Introduction
Pour communiquer entre systèmes (partage de ressources, transfert de
fichiers, consultation de bases de données, lecture de vidéos), ces
systèmes comportent trois blocs :
• les applications qui veulent échanger des données;
• les fonctions d'établissement et de gestion de la communication;
• les fonctions de transmission des données.

6
Architecture des systèmes de communication

7
Architecture d’un réseau de transmission

8
 Réseaux Informatiques
On peut distinguer trois types de
réseaux en fonction de la distance
entre systèmes informatiques :
• Les réseaux locaux LAN (Local Area
Network)
• Les réseaux métropolitains ou MAN
(Metropolitan Area Network)
• Les réseaux longues distance ou
WAN (Wide Area Network)

9
Example d’un réseau bancaire

10
Problématiques des réseaux

11
Protocoles
• Un ensemble de convention préétablies pour réaliser un
échange de données entre deux entités
• Il définit le format des données et les règles d'échanges
• syntaxes et sémantique de message...
• En particulier :
• format des données et les règles d’échange
• délimitation des blocs de données échangés
• organisation et contrôle de l’échange
• contrôle de la liaison

Communication en réseau : protocoles organisés en plusieurs couches

12
Modèle OSI

13
Modèle TCP/IP

14
Modèle TCP/IP
Réseau
• Acheminement des données sur la liaison
• Synchronisation entre les machine avant transmission des
données
• Signaux : analogique et numérique
• Internet : communication entre machine
Adressage IP
• Acheminement de datagrammes
• Gestion de la fragmentation et assemblage

15
 Modèle TCP/IP
La couche transport
• Protocole de transport de bout en bout et présent
uniquement en extrémités
• Transport fiable de segments (en mode connecté)
• Protocole complexe (transmission, gestion des
erreurs, séquencement…)
Applications
• services de transfert de fichier et d'impression
• services de connexion au réseau
• services de connexion à distance
• …..
16
L’architecture IP
• L’architecture IP repose sur l’utilisation obligatoire du protocole IP, qui
a pour fonctions de base l’adressage et le routage des paquets IP.
• L’architecture TCP/IP est illustrée . la figure 10.1. Elle contient trois
niveaux : le niveau paquet, le niveau message et un niveau reprenant les
fonctionnalités des couches supérieures.

17
TCP/IP et ses objectifs
• L’architecture TCP/IP se fonde sur une idée simple : demander à tous
les réseaux qui veulent en faire partie de transporter un type unique de
paquet, d’un format déterminé par le protocole IP.
• Pour compléter le protocole IP, la défense américaine a ajouté le
protocole TCP, qui précise la nature de l’interface avec l’utilisateur
• Le modèle Internet se complète par une troisième couche, appelée
niveau application, qui regroupe les différents protocoles sur lesquels
se construisent les services Internet : SMTP, FTP, HTTP….

18
Architecture Internet

19
 TCP/IP
• La souplesse de l’architecture Internet peut parfois être un défaut, dans la
mesure où l’optimisation globale du réseau est effectuée sous-réseau par
sous-réseau, par une succession d’optimisations locales.
• C’est le protocole TCP qui se charge d’envoyer plus ou moins de paquets
en fonction de l’occupation du réseau.
• Transport fiable de la technologie TCP/IP
• fiabilité = illusion assurée par le service
• découpage en segments
• connexions bidirectionnelles et simultanées
• service en mode connecté
• garantie de remise de messages et d'ordonnancement
20
 La connexion TCP
• Une connexion de type circuit virtuel est établie
• Connexion = une paire d'extrémités de connexion
• Extrémité de connexion = couple (adresse IP, numéro port)
• Exemple de connexion : (([Link], 1034), ([Link], 21))
• Une extrémité de connexion peut être partagée par plusieurs autres extrémités de
connexions (multi-instanciation)
• La mise en œuvre de la connexion se fait en deux étapes :
• une application (extrémité) effectue une ouverture passive en indiquant qu'elle
accepte une connexion entrante,
• une autre application (extrémité) effectue une ouverture active pour demander
l'établissement de la connexion.

21
 Qualité de service
• Segmentation, contrôle de flux
• les données transmises à TCP constituent un flot d'octets de longueur variable
• TCP divise ce flot de données en segments en utilisant un mécanisme de fenêtrage
• chaque segment est émis dans un datagramme IP
• Acquittement de messages
• TCP garantit l'arrivée des messages, c'est-à-dire qu'en cas de perte, les deux
extrémités sont prévenues
• Ce concept repose sur les techniques d’acquittement de message : lorsqu'une source S
émet un message Mi vers une destination D, S attend un acquittement Ai de D avant
d'émettre le message suivant Mi+1.
• Si l’acquittement Ai ne parvient pas à S, S considère au bout d'un certain temps que le
message est perdu et réémet Mi

22
TCP : gestion des acquittements
Source Réseau Destination

émission de Mi
temporisation
Mi n’est pas reçu
armée
Ai non envoyé

Tempo. échue
Réémission de Mi

Réception de Mi
Emission de Ai

Réception de Ai

23
 La fenêtre
• La technique acquittement simple pénalise les performances puisqu'il faut
attendre un acquittement avant d'émettre un nouveau message. La fenêtre
améliore le rendement des réseaux.

• La technique : une fenêtre de taille T permet l'émission d'au plus T messages

"non acquittés" avant de ne plus pouvoir émettre.
• La fenêtre de contrôle de TCP augmente ou diminue le trafic suivant le temps
nécessaire pour effectuer un aller-retour.
• Plus ce temps augmente, plus on considère le réseau congestionn., et plus le débit
d’émission doit diminuer pour combattre la saturation

24
Gestion de la fenêtre (1)
Source Réseau
Destination

Emission de Mi

Emission de Mi+1 Réception de Mi

Emission de Mi+2 Emission de Ai

Réception de Ai

Fenêtre de taille 3

25
Gestion de la fenêtre (2)
• fenêtre glissante permettant d'optimiser la bande passante
• permet également au destinataire de faire diminuer le débit de
l'émetteur donc de gérer le contrôle de flux
• Le mécanisme de fenêtre mis en oeuvre dans TCP opère au niveau
de l'octet et non pas au niveau du segment ; il repose sur :
• la numérotation séquentielle des octets de données,
• la gestion de trois pointeurs par fenêtre

1 2 3 4 5 6 7 8 9 10 11 . . .
Octets émis Octets émis et Octets Octets non émissibles
et acquittés non acquittés émissibles pour l’instant

26
 Format du segment TCP
• Segment : unité de transfert du protocole TCP
• pour établir les connexions
• transférer les données et émettre des acquittements
• fermer les connexions
0 4 10 16 24 31
Port source Port destination
Numéro de séquence

N * 32bits Numéro d’acquittement

HLEN réservé Codes fenêtre
Checksum pointeur urgence
Options éventuelles bourrage

Données . . .
27
Désynchronisation
TCP source TCP destination

Crash
Closed Established

Syn-sent seq=400 CTL=SYN ??

?? seq=300 ack=100 CTL=SYN
Syn-sent seq=100 CTL=RST abort

Syn-sent close

Syn-sent seq=100 CTL=RST

28
 Les options
• Permet de négocier la taille maximale des segments échangés. Cette option n'est
présente que dans les segments d'initialisation de connexion (avec bit SYN).
• TCP calcule une taille maximale de segment de manière à ce que le datagramme IP
résultant corresponde au MTU du réseau. La recommandation est de 536 octets.
• La taille optimale du segment correspond au cas où le datagramme IP n’est pas
fragmenté mais :
• il n’existe pas de mécanisme pour connaître le MTU,
• le routage peut entraîner des variations de MTU,
• la taille optimale dépend de la taille des en-têtes (options).

29
 Gestion des acquittements
• Le mécanisme d’acquittement de TCP est cumulatif
• il indique le numéro de séquence du prochain octet attendu : tous les octets
précédents cumulés sont implicitement acquittés
• Si un segment a un numéro de séquence supérieur au numéro de séquence
attendu (bien que dans la fenêtre), le segment est conservé mais l’acquittement
référence toujours le numéro de séquence attendu
• Pour tout segment émis, TCP s’attend à recevoir un acquittement
• Si le segment n’est pas acquitté, le segment est considéré comme perdu et TCP le
retransmet
• Un réseau d’interconnexion offre des temps de transit variables nécessitant le
réglage des temporisations
• TCP gère des temporisations variables pour chaque connexion en utilisant un
algorithme de retransmission adaptative
30
Fenêtre=900 Segment=300

TCP source TCP destination

Seq=3
Envoi de 300 octets
Ack=303
Seq=303
Envoi de 300 octets

Seq=603
Envoi de 300 octets Attente de 303
Seq=903
Ack=303
Envoi de 300 octets
Attente car
f = 900 Peuvent être
Seq=303 conservés

Envoi de 300 octets

Seq=603 Ack=1203
Envoi de 300 octets

31
Retransmissions adaptatives
• enregistre la date d’émission d’un segment
• enregistre la date de réception de l’acquittement correspondant
• calcule le temps A/R écoulé
• détermine le temps A/R moyen RTT (Round Trip Time) :
RTT = (a * anc_RTT) + ((1-a) * NOU_RTT))
avec 0<= a < 1
[a proche de 1 : RTT insensible aux variations brèves
a proche de 0 : RTT très sensible aux variations rapides]
• calcule la valeur du temporisateur en fonction de RTT
• Les premières implémentations de TCP ont choisi un coefficient
constant B pour déterminer cette valeur :
Temporisation = B * RTT avec B >1 (généralement B=2).
• Aujourd’hui de nouvelles techniques sont appliquées pour affiner la
mesure du RTT : l’algorithme de Karn

32
 Algorithme de Karn
• En cas de retransmission d’un segment, l’émetteur ne peut savoir si
l’acquittement s’adresse au segment initial ou retransmis (ambiguïté des
acquittements)
=> RTT ne peut donc être calculé correctement
=> TCP ne doit pas mettre à jour le RTT pour les segments retransmis
• L’algorithme de Karn combine les retransmissions avec l’augmentation des
temporisations associées (timer backoff):
• une valeur initiale de temporisation est calculée
• si une retransmission est effectuée, la temporisation est augmentée (généralement le
double de la précédente, jusqu’à une valeur plafond).
• Cet algorithme fonctionne bien même avec des réseaux qui perdent des
paquets.

33
 Gestion de la congestion
Gestion de la congestion
• TCP gère le contrôle de flux de bout en bout mais également les problèmes de congestion liés
à l’interconnexion
• La congestion correspond à la saturation de nœud(s) dans le réseau provoquant des délais
d’acheminement de datagrammes jusqu‘a leur pertes éventuelles.
• Les extrémité ignorent tout de la congestion sauf les délais Habituellement, les protocoles
retransmettent les segments ce qui aggrave encore le phénomène.
• Dans la technologie TCP/IP, les passerelles (niveau IP) utilisent la réduction du débit de la
source mais TCP participe également à la gestion de la congestion en diminuant le débit
lorsque les délais s’allongent.
• En cas de congestion, TCP applique une diminution dichotomique :
• à chaque segment perdu, la fenêtre de congestion est diminuée par 2 (minimum 1 segment)
• la temporisation de retransmission est augmentée exponentiellement .

34
 La vie d’une connexion TCP
Une connexion TCP est établie en trois temps de manière à
assurer la synchronisation nécessaire entre les extrémités

TCP source TCP destination

Syn seq=x

Syn seq=y, ack=x+1

Ack y+1

35
La déconnexion
• Une connexion TCP est libérée en un processus dit "trois temps
modifié"

TCP source TCP destination

Fin seq=x

ack=x+1
+ fin -> application

Application -> close

Fin seq=y ack=x+1
Ack y+1

36
Time keep alive
• Cette fonction permet de détecter les « absences » : si aucune
donnée ne circule, la connexion est silencieuse
• permet de refermer les connexions que les utilisateurs ont laissé
ouvertes
• (exemple : si 9 segments « sondes » consécutifs, émis avec des
intervalles de 75 secondes restent sans réponse, la connexion est
fermée)

37
 Réinitialisation

Départ Fermé
ouverture active
/ SYN
fermeture ouverture
passive
Ecoute
SYN/SYN+ACK (Listen) Send SYN

RST SYN/SYN+ACK Fermer

SYN SYN
reçu émis RST
Tempo. exp.

ACK Etablie SYN+ACK/ACK

Close/FIN
FIN/ACK Attente
Fermer
Fermer/FIN
FIN (send)
rcv
FIN Fermeture DernierACK
Attente FIN/ACK
-1 en cours ACK

rcv
ACK of FIN rcv
ACK of FIN
tempo. expire après
FIN Tempo.
Attente FIN / ACK 2 durées de vie de segment 38
-2 expirée
 TCP : ports standards
No port Mot-clé Description

20 FTP-DATA File Transfer [Default Data]

21 FTP File Transfer [Control]
23 TELNET Telnet
25 SMTP Simple Mail Transfer
37 TIME Time
42 NAMESERVER Host Name Server
43 NICNAME Who Is
53 DOMAIN Domain Name Server
79 FINGER Finger
80 HTTP WWW
110 POP3 Post Office Protocol - Version 3
111 SUNRPC SUN Remote Procedure Call
39
Applications au dessus de la couche transport

40
Dynamic Host Configuration Protocol
• Lorsqu’un hôte doit être connecté à un réseau Ethernet TCP/IP, pour
qu’il fonctionne correctement, il dois disposer de :
• Adresse IP ;
• Masque de sous-réseau ;
• Adresse de diffusion ;
• Adresse de la passerelle ;
• Adresse du serveur DNS ;
• ……..

41
Dynamic Host Configuration Protocol
• Il existe deux méthodes pour configurer les paramètres TCP/IP sur un
poste:
• Configuration statique: manuelle
• Chaque poste est manuellement configuré.
• Configuration dynamique: serveur DHCP
• Les paramètres TCP/IP sont fournis par un serveur DHCP.

42
Dynamic Host Configuration Protocol
• DHCP est un protocole de configuration dynamique d’hôte qui
permet d’allouer à la demande des adresses IP aux machines se
connectant au réseau. Il présente les avantages
suivants :
• une gestion centralisée des adresses IP ;
• les ordinateurs clients ne requièrent pas de configuration IP manuelle ;
• le nombre d’adresses IP disponibles peut être supérieur au nombre de
machines du réseau.
• Au moins un serveur DHCP est configuré dans le réseau, il possède
une table d’adresses IP valides localement

43
DHCP
• La base de données du serveur DHCP contient les informations
suivantes :
• une table d’adresses IP valides et des adresses IP réservées qui seront
affectées manuellement ;
• des paramètres de configuration valides pour tous les clients du reseau :
masques, adresse de la passerelle, des serveurs DNS…;
• la durée des baux : le bail définit la période de temps durant laquelle l’adresse
IP attribuée peut être utilisée.

44
DHCP
• Le standard DHCP définit trois types d'allocation d'adresses IP :
• Allocation manuelle: le serveur DHCP attribue une adresse IP
spécifique à un ordinateur (il associe une @IP a une @MAC),

• Allocation automatique: Le serveur DHCP fournit aux clients des

adresses IP prises d’un ensemble d’adresses, et les clients conservent ces
adresses attribuées de manière permanente,

• Allocation dynamique: Le serveur DHCP fournit l’adresse IP à partir,

mais la possession de l’adresse est limitée dans le temps (bail, lease).
Le client doit périodiquement renouveler le bail, sans quoi l'adresse est
remise dans le pool d'allocation.

45
BOOTP et DHCP
• Le protocole BOOTP est un protocole de configuration hôte (Bootstrap
Protocol, RFC 951), développé avant DHCP,
• BOOTP est un Protocole de démarrage prévu pour configurer des stations
de travail sans disque (diskless),
• Une station récupère les informations pour s’amorcer (« booter ») sur un
serveur « d’amorçage » distant.
• Similitudes entre BOOTP et DHCP:
• Même structure de format des messages pour l'échange des messages entre le
serveur et les clients,
• Utilisation des ports UDP connus pour la communication client/serveur,
• La distribution des adresses IP fait partie intégrante du service de configuration.
46
 Différences entre les protocoles DHCP et
BOOTP
• DHCP définit un mécanisme d'assignation d'adresse IP à un client pour
une période déterminée (bail), cette adresse pouvant être redonnée à un
autre client,
• BOOTP ne renouvellent pas la configuration sauf au redémarrage du
système.
• BOOTP ne permet pas d’affecter dynamiquement les adresses, et nécessite
donc de connaître les adresses MAC ou d’affecter un nom aux
équipements qui émettent des requêtes.
• DHCP fournit le mécanisme qui donne beaucoup plus de paramètres de
configuration: appelés options, pour qu'un client puisse opérer dans un
réseau TCP/IP.
• BOOTP prend en charge un nombre limité de paramètres de configuration
47
client appelés extensions de fournisseur.
 DHCP : Client et Serveur
• DHCP est un protocole applicatif,
• Il utilise UDP au niveau de la couche transport. Bien que peu fiable il
suffit au transport des paquets simples sur réseau local,
• Le client envoie des messages au serveur à partir de son port (68)
vers le port destination (67) du serveur,
• le serveur renvoie des messages sur son port (67) vers le client sur
son port (68).

48
 DHCP
Le processus d’attribution dynamique d’une
adresse IP se déroule en 4 étapes :
1. discover : le client envoie une trame de
diffusion sur le réseau vers un serveur
DHCP;
2. offers : tous les serveurs DHCP
répondent au client en lui faisant
une offer;
3. request : le client répond à un serveur
DHCP en lui précisant qu’il accepte
l’offre proposée;
4. accusé de réception (ACK) : le serveur
DHCP confirme le bail avec sa
durée et les options associées. 49
 DHCP
• Types de messages (suite):
• DHCPNAK : Message émanant du serveur pour rejeter l'acceptation par le client
d'une adresse IP qui lui a été proposée,
• DHCPDECLINE : Message émanant du client qui indique au serveur que l’adresse
proposée est déjà en service,
• DHCPRELEASE : Le client annonce au serveur l’abandon de l’adresse(résiliation de
bail),
• DHCPINFORM : Message émanant d’un client qui possède déjà une adresse et qui
fait une demande de configuration complémentaire.

50
 Encapsulation d’un message DHCP
• Encapsulation d’un message DHCP

Adresse physique de l’émetteur

Ethernet Adresse physique du destinataire de la trame

Adresse IP source
IP Adresse IP destinataire de la trame réseau

Port source
Port destinataire du datagramme
UDP

Message DHCP
51
 Encapsulation d’un message DHCP
• Encapsulation d’un message DHCP
[Link]
Ethernet
[Link]

[Link]
IP 255.255.255.255u

68
67
UDP

Message DHCP DSCOVER

52
 Format du paquet DHCPDISCOVER
Entête IP

53
Format du paquet DHCPDISCOVER (suite)

54
Format du paquet DHCPDOFFER (suite)

Adresse proposé
par le serveur

Identité du serveur DHCP

qui a evnvoyé la reponse

55
 Format du paquet DHCPDREQUEST
Entête IP

56
Format du paquet DHCPDREQUEST (suite)

Choix du serveur

57
 Format du paquet DHCPACK (suite)
Entête IP

58
Format du paquet DHCPACK

59
 DHCP : Conflits d’adresse
• Gestion des conflits d’adresses:
• Une adresse IP ne doit pas être affectée à deux machines différentes.
• Ce cas de figure peut se produire:
• Si une adresse gérée par un serveur DHCP a été configurée
statiquement sur une machine,
• Si cette adresse est gérée par un autre serveur DHCP qui l’a déjà
attribuée à une machine du réseau.
• Deux mécanismes permettent d’éviter les conflits:
• Détection des conflits coté serveur,
• Détection des conflits cote client.

60
 Serveur
• Le serveur DHCP peut détecter les conflits en testant les adresses IP
par un ping avant de les proposer aux clients,
• Si le serveur reçoit une réponse a son ping. Il désactive l’adresse
allouées à des nouveaux client (DHCPDiscover) mais pas celles des
baux renouvelés (DHCPRequest) ,
• Cette fonctionnalité augmente le temps de repense des serveurs car
ils doivent attendre une éventuelle réponse à son ping,
• Cette fonctionnalité est désactivée par défaut et doit être activée
explicitement par l’administrateur du serveur,
• Elle s’applique au niveau d’un serveur et ne peut être paramétrée
étendue par étendue.

61
Client
• Détection des conflits coté client:
• Les client dhcp vérifient si l’adresse qui leur a été communiqué par
le serveur est déjà utilisée sur le réseau en utilisant le protocole
ARP.
• Si c’est le cas, ils envoie un message DHCPDecline au lieu de
DHCPRequest d’acceptation d’adresse et recommence la demande
du bail.
• En principe, c’est au client vérifier que l’adresse allouée par le
serveur n’est pas utilisée par une autre station (le serveur peut, en
effet, être situé de l’autre côté d’un routeur). Le client génère à cet
effet une requête ARP sur l’adresse qui vient de lui être allouée.

62
DHCP
• Le client et le serveur DHCP n’appartiennent pas au même sous
réseau. Quoi faire?
• Installer un agent relais DHCP sur la passerelle qui relie les deux
sous réseaux (celui du client et du serveur),
• L’agent relais DHCP s’occupe de l’acheminement des paquets en
provenance et vers le serveur DHCP.

63
 Agent de relais DHCP
Un agent de relais qui va intercepter les requêtes en broadcast et les transmettre à
un serveur DHCP connu de cet agent.

64
Agent de relais DHCP

65
Configuration de DHCP sous linux
• Le serveur DHCP utilise le fichier de configuration [Link]
• Généralement dans le répertoire /etc/, (ou /etc/dhcp/ suivant les distribution)
• Ce fichier est composé de deux parties principales:
• Directives communes,
• Configuration des sous réseaux: sur lesquels le serveur DHCP doit distribuer les
adresses IP.
• Directives communes : Ces directives sont divisées en deux ensembles :
• Les directives principales: nécessaires au bon fonctionnement du serveur
DHCP,
• Syntaxe: <nom de l'option> <argument de l'option>;
• Les directives secondaires: ou options du protocole DHCP
• option<nom de l'option><argument de l'option>;

66
Configuration du Serveur DHCP sous linux

Option Description

default-lease-time Temps par défaut du bail DHCP

max-lease-time Le temps maximum que peut demander un client

server-name Non serveur fournit au client dhcp

always-broadcast on ou off spécifie si le serveur répond ou non en

broadcast aux demandes des clients,
lease-file-name Chemin du fichier qui contient les informations sur chaque
bail délivré par défaut /var/lib/dhcp/[Link]
local-port Numéro de port d’écoute du serveur DHCP. Par défaut 67
67
 Configuration du Serveur DHCP
Exemple:
• default-lease-time 86400; #bail par défaut 24h

• max-lease-time 604800; #bail max une semaine

• server-name ‘’DHCP fstsais ‘’ ; #nom du serveur

• Lease-file-name ’’/var/lib/dhcpd/[Link];’’ # fichier de
bauds

• always-brodcast off; #pas de réponses en broadcast

#pour les requêtes dhcp

• allow unknown-clients; #autoriser clients inconnus

• Deny bootp; #interdire le protocole bootp 68
 Configuration du Serveur DHCP
• Options secondaires

Option Description

Subnet-mask Masque de sous réseau

broadcast-address L’adresse de diffusion

routers L’adresse de la passerelle

domain-name-servers L’@IP des serveurs DNS

domain-name Le nom du domaine

69
 Configuration du Serveur DHCP
• Options secondaires
• Exemple
• option subnet-mask [Link]
• option domain-servers [Link], [Link];
• option-domain-name ‘’ [Link]"

70
 Configuration du Serveur DHCP
• Déclaration des sous réseaux
– Exemple
subnet [Link] netmask [Link] {
range [Link] [Link];
option routers [Link];
option broadcast-address [Link];
}

subnet [Link] netmask [Link] {

range [Link] [Link];
option routers [Link];
option broadcast-address [Link];
}

71
 Configuration du Serveur DHCP
• Réservation d’adresses IP fixes (En utilisant @MAC)
• Syntaxe
host <nom_machine> {
hardware <type> <identifiant>;
fixed-address <@IP>;
}
• Type : est type de matériel supportée (ethernet ou token-ring)
• Identifiant : est adresse MAC de la machine
# exemple:
Host poste_1 {
hardware ethernet [Link] ;
fixed-address [Link] ;
}

72
 Configuration du Serveur DHCP
• Base données DHCP
• Le serveur DHCP conserve une base de données persistante des
concessions attribuées,
• Cette base de données est un fichier texte ASCII sans contraintes de forme
contenant une série de déclarations de concessions,
• Chaque fois qu'une concession est attribuée, renouvelée ou libérée, sa
nouvelle valeur est enregistrée à la fin du fichier des concessions,
• Le fichier de concession est : [Link] .

73
 Configuration du Serveur DHCP
• Fichier [Link]

74
 Configuration du Serveur DHCP
• Au démarrage, dhcpd lit le fichier [Link] et stocke en mémoire la liste des
adresses disponibles dans chaque sous-réseau.
• Chaque client dhcp reçoit son adresse : la concession expire au bout d'une durée
choisie par l'administrateur (exp: une journée).
• Une fois que la durée de la concession s'est écoulée, le client titulaire n'est plus
autorisé à utiliser l'adresse IP qu'il avait reçue.
• Pour garder la trace des concessions accordées en dépit des redémarrages du
serveur:
• dhcpd inscrit la liste des concessions attribuées dans le fichier [Link],
• Avant d'accorder une concession à un hôte, dhcpd enregistre l'attribution
dans ce fichier et s'assure que le contenu du fichier est recopié sur le disque,
• Ceci permet d'être sûr que, même dans le cas d'un crash système, dhcpd
n'oubliera rien d'une concession qui a été accordée,
• Au démarrage, après avoir lu le fichier [Link], dhcpd lit le fichier
[Link] pour mettre à jour sa mémoire à propos des concessions qui ont
75
été accordées.
 Configuration du Serveur DHCP
• Client dhcp:
• Le client DHCP , dhclient, fournit un moyen de configurer une ou plusieurs interfaces
réseaux en utilisant le protocole DHCP, ou si ce protocole échoue, en assignant une
adresse statique.
• La configuration du client dhcp se fait par la commande: dhclient
• Les options sont spécifiés en lignes de commandes
• Syntaxe
dhclient [ -p port ] [ -d ] [ -q ] [ -1 ] [ -r ] [ -lf lease-file ] [ -pf pid-file ] [ -cf config-
file ] [ -sf script-file ] [ -s server ] [ -g relay ] [ -n ] [ -nw ] [ -w ] [ if0 [ ...ifN ] ]

76
 Configuration du Serveur DHCP

• Configurer un serveur dhcp

• Installation du packge serveur dhcpd
• Configuration du fichier de cnfiguration /etc/dhcp/[Link]
• Création du fichier /var/lib/dhcp/[Link]
• Démarrage du service dhcpd
• Au démarrage du démon dhcpd
• Le démon lit le fichier /etc/dhcp/[Link]
• Se met en écoute sur le port UDP 67
• Enregistre les baux dans le fichier /var/lib/dhcp/[Link]

77
 Domain Name Service (DNS)
• Pour simplifier l’identification des machines, un service de
resolution permettant d’utiliser des noms symboliques à la
place des adresses IP est utilisé localement ou à l’échelle
mondiale.
• L’autorité de nommage de l’Internet est l’ICANN (Internet
Corporation for Assigned Names and Numbers).
• Cet organisme gère donc une base de données relative à la
[Link] et c’est ainsi pour tous les autres organismes.

78
objectif
✓ Le but de la résolution des noms sur un réseau
est d’assurer la conversion entre les noms d’hôtes et
les adresses ip.

[Link]

inverse
résolution

[Link]

79
Organisation arborescente du nommage
DNS

Source google 80
Iterative resolution
Response: [Link] =Query: [Link]
[Link]
Query: [Link]
.

Response: [Link], ask fr. Query: [Link]

Response: [Link], ask [Link].
.edu .com @{[Link],[Link],[Link],194.
.net .gov .mil .be .fr .us resolver
@{[Link],[Link],[Link],192.
146.106.46,[Link]} [Link]
Query: [Link]
93.2.78}
example sun fbi whitehouse ac france inria france [Link]
[Link]
Response: [Link] = [Link]
[Link]
www java www mail www ucl ulg www www ezp www [Link]

[Link]
[Link]

The resolver apprend la hiérarchie

Internet
les réponses peuvent être mises en cache pour
éviter d'interroger deux fois le même serveur
81
 82
Source [Link]
 En haut de l’arborescence
• En haut de l’arborescence, il y a 13 serveurs de noms racine (de
[Link] à [Link]) qui connaissent les
serveurs de nom de premier niveau (.com,.fr…).
• Ces serveurs sont dupliqués et répartis dans le monde (plus de
300 serveurs physiques).

83
correspondance non bijective
• Un nom d’hôte peut désigner plusieurs adresses ip pour des
interfaces différentes
• Une adresse ip peut être associée à plusieurs noms alias par
exemple :
• [Link]
• [Link]
• [Link]

84
 Domaines et sous-domaines
• le domaine fr comprend le noeud fr et tous les noeuds contenus dans
tous les sous-domaines de fr
• Un nom de domaine est un index dans la base DNS
• [Link]
pointe vers une adresse IP
• [Link]
pointe vers des informations de routage, de courrier électronique et
éventuellement des informations de sous-domaines
• [Link]
pointe vers des informations de routage, de courrier électronique et
éventuellement des informations de sous-domaines
• fr pointe vers des informations structurelles de sous-domaines

85
 Domaines racine (suite)
• Nouveaux domaines racine en cours de normalisation:
• firm, store, web, arts, rec, info, nom

• Certaines organisations nationales peuvent être gérées administrativement par

un consortium :
RIPE

• Les divisions en sous-domaines existent dans certains pays et pas dans d’autres :
• [Link], [Link], ...
• [Link], [Link], ...
• pas de division du .fr

86
 Lecture des noms de domaine
• A l’inverse de l’adressage IP la partie la plus significative se situe
à gauche de la syntaxe :
[Link]
[Link]
vers le plus significatif
vers le plus significatif

[Link]
domaine français (.fr)
domaine de l’organisation univ-avignon

sous-domaine ceri

machine diamant du domaine

[Link]
87
 Les serveurs de noms
• Les logiciels qui gèrent les données de l’espace nom de domaine sont appelés des
serveurs de noms
(name servers)
• Les serveurs de noms enregistrent les données propres à une partie de l’espace
nom de domaine dans une zone.
• Le serveur de noms a une « autorité administrative » sur cette zone.
• Un serveur de noms peut avoir autorité sur plusieurs zones.
• Une zone contient les informations d’un domaine sauf celles qui sont déléguées.

88
 Types de serveurs de noms
• Le serveur de nom primaire maintient la base de données de la zone dont il
a l’autorité administrative
• Le serveur de nom secondaire obtient les données de la zone via un autre
serveur de noms qui a également l’autorité administrative
• interroge périodiquement le serveur de noms primaire et met à jour les données
• Il y a un serveur primaire et généralement plusieurs secondaires
• La redondance permet la défaillance éventuelle du primaire et du (des)
secondaire(s)
• Un serveur de noms peut être primaire pour une (des) zone(s) et
secondaire pour d’autre(s).

89
 Serveurs racine
• Les serveurs racine connaissent les serveurs de nom ayant autorité sur tous
les domaines racine
• Les serveurs racine connaissent au moins les serveurs de noms pouvant
résoudre le premier niveau (.com, .edu, .fr, ...)
• il est indispensable que les serveurs racine soient opérationnels sinon plus
de communication sur l’Internet
• multiplicité des serveurs racines
• actuellement jusqu’à 14 éparpillés sur la planète
• chaque serveur racine reçoit environ 100000 requêtes / heure

90
 Résolution de noms
• Les «resolvers» sont les processus clients qui contactent les serveurs de
noms
• ils contactent un serveur (dont l’(les) adresse(s) est (sont) configurée(s) sur
sa machine), interprète les réponses, retourne l’information au logiciel
appelant et gère un cache (selon la mise en œuvre)
• Le serveur serveur de noms interroge également d’autres serveurs de
noms, lorsqu’il n’a pas autorité sur la zone requise (fonctionnement itératif
ou récursif)
• Si le serveur de noms est en dehors du domaine requis, il peut être amené
à contacter un serveur racine

91
 Résolution inverse
• Consiste à obtenir le nom de domaine à partir de l’adresse IP
• pour faciliter la compréhension des humains
• pour des raisons de sécurité
• Plus délicate que nom -> IP car le système DNS est organisé pour la résolution de nom ==>
recherche exhaustive ???
• Solution : utiliser les adresses comme des noms :
• le domaine [Link]
• les noms des noeuds correspondent aux octets de l’adresse IP en ordre inverse
• le domaine [Link] a 256 sous-domaines,
• chacun de ces sous-domaines a 256 sous-domaines,
• chacun de ces sous-domaines a, à son tour, 256 sous-domaines,
• le 4ème niveau correspond à un NS connaissant le nom de domaine associé à cette adresse IP

92
 Résolution inverse. (suite)
arpa

in-addr

0 192 255

0 93 255

0 28 255

? Pointe sur le DNS du

domaine [Link]-info….

0 7 255
93
 Résolution inverse (suite)
• le nom de domaine associé à la résolution inverse est noté selon l’adresse
IP inversée :
• car la résolution d’un nom de domaine se fait de droite à gauche
• exemple : [Link].[Link]
• résolution :
• [Link] -> [Link]
• [Link] -> [Link]
• [Link] -> [Link]
• [Link] ->[Link]
• Organismes gérant les classes
• Classe A et B -> internic US
• Classe C
• 192 : internic
• 193, 194, 195 RIPE avec délégations nationales

94
 Types d’enregistrements
Type Signification contenu

A Adresse de machine Adresse IP

CNAME Nom canonique Alias pour un nom d’hôte

MINFO Information boîte à lettre Informations relatives aux

boîtes à lettres
MX Serveur de messagerie Nom DNS du serveur et n°
de préférence
NS Nom du serveur de noms Nom DNS du serveur de
nom responsable du
domaine
PTR Pointeur sur un nom DNS Adresse IP et nom DNS
correspondant
SOA Start of Authority : indique Nom DNS du serveur
que le serveur est la meilleure
source de noms
95
 Enregistrement : SOA

• SOA = Start of Authority

• Spécifie que ce serveur de nom a autorité sur le domaine
;
; Database file [Link] for [Link] zone.
;

@ IN SOA [Link]. [Link]. (

64 ; serial number
3600 ; refresh
600 ; retry
86400 ; expire
3600 ) ; minimum TTL

96
 Enregistrements d’un serveur de nom
• Les données d’un serveur DNS sont enregistrées dans une base identifiée
par les noms de domaine correspondants; exemple :
• db. [Link], [Link]
• db.193.148.37, [Link]
• db.127.0.0, [Link]
• [Link], [Link]
• Types d’enregistrements
• SOA: décrit l’autorité administrative,
• NS : liste de serveurs de nom pour ce domaine
• A : correspondance nom -> adresse
• PTR : correspondance adresse -> nom
• CNAME : alias
• TXT : texte
• HINFO : description machine

97
Enregistrements : adresses A pour ipV4
AAAA ipV6
hub3_ouest IN A [Link]
hub5_ouest IN A [Link]
intranet IN A [Link]
ism IN A [Link]
labo-reseau IN A [Link]
MODEM1 IN A [Link]
MODEM2 IN A [Link]
NETBUILDER_SUN IN A [Link] canonical names
next IN A [Link]
Ntserv IN A [Link]
ROUTEUR_MDT IN A [Link]
sunserv IN A [Link]
sunstation1 IN A [Link]

98
 Enregistrement : NS
• spécifie les serveurs de nom ayant autorité sur ce domaine

;
; Zone NS records
;

[Link] IN NS ns.
@ IN NS [Link]
@ IN NS ntserver.

99
Enregistrements : adresses A pour ipV4
AAAA ipV6
hub3_ouest IN A [Link]
hub5_ouest IN A [Link]
intranet IN A [Link]
ism IN A [Link]
labo-reseau IN A [Link]
MODEM1 IN A [Link]
MODEM2 IN A [Link]
NETBUILDER_SUN IN A [Link] canonical names
next IN A [Link]
Ntserv IN A [Link]
ROUTEUR_MDT IN A [Link]
sunserv IN A [Link]
sunstation1 IN A [Link]

100
Enregistrements :alias
ftp IN CNAME intranet
gopher IN CNAME intranet
mail IN CNAME intranet
www IN CNAME intranet

aliases of canonical names

101
 Enregistrement MX
• MX = Mail eXchanger
• Permet l’adressage Email sur la base du nom de domaine plutot que sur
l’adresse du (des) serveur(s) de mail :
• fplaye@[Link] plutot que fplaye@[Link]
• permet à l’émetteur d’ignorer la machine serveur de mail
• permet le deplacement du serveur de mail vers une autre machine
• permet la gestion de plusieurs serveurs de mail avec priorité dans l’ordre de
consultation des serveurs

• L’enregistrement MX est consulté par les mailers (SMTP client)

• Tient compte des priorités; exemple

• [Link] IN MX 8 [Link]
• [Link] IN MX 99 [Link]

102
 Domaines virtuels

• Une machine peut gérer plusieurs domaines (zones) sur un même

serveur DNS; lorsque ces domaines sont associés à des adresses faisant
déjà partie d’un autre domaine, ils sont dits virtuels.

• exemple
• DNS [Link]
• domaine [Link]
• domaine [Link]
• domaine [Link]

103
 Utilisation du sytème DNS
• Utiliser un serveur de nom
• machine elle-même serveur de nom : [Link]
• machine non serveur de nom : spécifier un ou plusieurs serveur de nom : adresses IP
obligatoirement. éventuellement son domaine.
• sous UNIX : fichier /etc/resolv
• sous NT, W95 : administration TCP/IP
• Administrer un serveur de nom
• plateformes UNIX, NT
• mémoire importante : mini 16/32 MB pour le service.
• impératif : ne pas swapper
• opérationnelle 24/24
• laisser passer le port 53 sur UDP et TCP
• Debugging : Nslookup

104
Network Address Translation (NAT)

105
Réseau IP privé
• Un réseau IP privé est un réseau IP qui n'est pas directement connecté à l'internet.

• Les adresses IP d'un réseau privé peuvent être attribuées de manière arbitraire.
• Elles ne sont pas enregistrées et il n'est pas garanti qu'elles soient uniques au niveau
mondial.

• En général, les réseaux privés utilisent les adresses des plages d'adresses expérimentales
suivantes (adresses non routables) :
• [Link] – [Link]
• [Link] – [Link]
• [Link] – [Link]

106
Adresses privées

H1 H2 H3 H4

[Link] [Link] [Link] [Link]

[Link] [Link]
Private network 1 Private network 1
Internet
R1 [Link] [Link] R2

[Link]

H5

107
 Network Address Translation (NAT)
• Le NAT est une fonction de routeur dans laquelle les adresses IP (et
éventuellement les numéros de port) des datagrammes IP sont remplacées
à la frontière d'un réseau privé.
• Le NAT est une méthode qui permet aux hôtes des réseaux privés de
communiquer avec les hôtes de l'internet.
• Le NAT est exécuté sur les routeurs qui connectent les réseaux privés à
l'internet public, afin de remplacer la paire adresse IP-port d'un paquet IP
par une autre paire adresse IP-port.

108
Fonctionnement de base du NAT

Le dispositif NAT dispose d'une table de traduction

d'adresses

109
 Mise en commun des adresses IP
• Scénario: Le réseau d'entreprise compte de nombreux hôtes mais seulement
un petit nombre d'adresses IP publiques.
• Solution NAT :
• Le réseau d'entreprise est géré avec un espace d'adressage privé.
• Le dispositif NAT, situé à la frontière entre le réseau d'entreprise et l'Internet public,
gère un pool d'adresses IP publiques.
• Lorsqu'un hôte du réseau d'entreprise envoie un datagramme IP à un hôte de l'Internet
public, le dispositif NAT choisit une adresse IP publique dans le pool d'adresses et lie
cette adresse à l'adresse privée de l'hôte.

110
Mise en commun des adresses IP
Private Internet
network

Source = [Link] Source = [Link]

Destination = [Link] Destination = [Link]

private address: [Link] NAT

public address: [Link]
public address: device
H1 H5

Private Public
Address Address
[Link]

Pool of addresses: [Link]-[Link]

111
Soutenir la migration entre les fournisseurs de services de réseau

• Scénario : en CIDR, les adresses IP d'un réseau d'entreprise sont obtenues auprès du fournisseur
de services. Le changement de fournisseur de services nécessite le changement de toutes les
adresses IP du réseau.
• Solution NAT :
• Attribuer des adresses privées aux hôtes du réseau d'entreprise.
• Le dispositif NAT possède des entrées de traduction d'adresses statiques qui lient l'adresse
privée d'un hôte à l'adresse publique.
• La migration vers un nouveau fournisseur de services réseau nécessite simplement une mise
à jour du dispositif NAT. La migration n'est pas perceptible par les hôtes du réseau.
• La différence entre l'utilisation de la NAT et la mise en commun d'adresses IP est que le mappage
des adresses IP publiques et privées est statique.

112
Soutenir la migration entre les fournisseurs de services de réseau

113
Mascarade IP
• Également connu sous le nom de : Traduction d'adresses de réseau
et de ports (PNAT), Traduction d'adresses de ports (PAT).
• Scénario: Une seule adresse IP publique est associée à plusieurs hôtes
dans un réseau privé.
• Solution NAT:
• Des adresses privées sont attribuées aux hôtes du réseau de l'entreprise.
• Le dispositif NAT modifie les numéros de port pour le trafic sortant.

114
Mascarade IP

Source = [Link] Source = [Link]

Source port = 2001 Source port = 2100

private address: [Link]

NAT [Link]
H1 Private network Internet
device
private address: [Link]

H2 Source = [Link] Source = [Link]

Source port = 3020 Destination = 4444

Private Public
Address Address
[Link]/2001 [Link]/2100
[Link]/3020 [Link]/4444

115
 Équilibrage de la charge des serveurs

• Scénario: Répartition de la charge sur un ensemble de serveurs

identiques, accessibles à partir d'une seule adresse IP.
• Solution NAT :
• Ici, les serveurs se voient attribuer des adresses privées.
• Le dispositif NAT agit comme un proxy pour les requêtes adressées au serveur depuis le
réseau public.
• Le dispositif NAT modifie l'adresse IP de destination des paquets entrants pour la remplacer
par l'une des adresses privées du serveur.
• Une stratégie judicieuse pour équilibrer la charge des serveurs consiste à attribuer les
adresses des serveurs sur la base d'un tour de rôle.

116
Équilibrage de la charge des serveurs

117
Préoccupations concernant le NAT
• Performances :
• La modification de l'en-tête IP en changeant l'adresse IP exige que les boîtiers
NAT recalculent la somme de contrôle de l'en-tête IP.
• La modification du numéro de port nécessite que les boîtiers NAT recalculent
la somme de contrôle TCP.
• Fragmentation
• Il faut veiller à ce qu'un datagramme fragmenté avant d'atteindre le dispositif
NAT ne se voie pas attribuer une adresse IP ou un numéro de port différent
pour chaque fragment.

118
Préoccupations concernant le NAT
• NAT détruit l'accessibilité universelle de bout en bout des hôtes
• Un hôte sur l'Internet public est souvent incapable d'établir une
communication avec un hôte dans un réseau privé.
• Le problème est encore plus aigu lorsque deux hôtes d'un réseau
privé doivent communiquer l'un avec l'autre.

119
Préoccupations concernant le NAT
• Adresse IP dans les données utiles de l'application:
• Les applications qui contiennent des adresses IP dans la charge utile de l'application ne
fonctionnent généralement pas à travers une frontière de réseau privé-public.
• Certains dispositifs NAT inspectent les données utiles des protocoles de couche d'application
largement utilisés et, si une adresse IP est détectée dans l'en-tête de la couche d'application
ou dans les données utiles de l'application, traduisent l'adresse en fonction de la table de
traduction d'adresses.

120
Operation normale de FTP
FTP client FTP server
public address: public address:
[Link] [Link]

H1 H2
PORT [Link]/1027

200 PORT command successful

RETR myfile

150 Opening data connection

establish data connection

• Normal FTP operation

121
NAT et FTP
Private network Internet

FTP client NAT FTP server

private address: [Link] device
public address: [Link]

H1 H2
PORT [Link]/1027 PORT [Link]/1027

200 PORT command successful 200 PORT command successful

RETR myfile RETR myfile

150 Opening data connection 150 Opening data connection

establish data connection establish data connection

• NAT avec prise en charge FTP

122
NAT et FTP
Private network Internet

FTP client NAT FTP server

private address: [Link] device public address:
public address: [Link] [Link]

H1 H2
PASV PASV

Entering Passive Mode Entering Passive Mode

[Link]/10001 [Link]/10001

Establish data connection Establish data connection

• FTP en mode passif et NAT.

123
Configuration du NAT sous Linux
• Linux utilise le paquet Netfilter/iptable pour ajouter des règles de
filtrage au module [Link] From application

filter nat
INPUT OUTPUT

Yes filter
OUTPUT
Destination No filter
is local? FORWARD

nat nat
PREROUTING POSTROUTING
(DNAT) (SNAT)

124 Incoming Outgoing

datagram datagram
Configuration du NAT sous Linux
• First example:
iptables –t nat –A POSTROUTING –s [Link]
–j SNAT --to-source [Link]
• Pooling of IP addresses:
iptables –t nat –A POSTROUTING –s [Link]/24
–j SNAT --to-source [Link]–[Link]
• ISP migration:
iptables –t nat –R POSTROUTING –s [Link]/24
–j SNAT --to-source [Link]–[Link]
• IP masquerading:
iptables –t nat –A POSTROUTING –s [Link]/24
–o eth1 –j MASQUERADE
• Load balancing:
iptables -t nat -A PREROUTING -i eth1 -j DNAT --to-
destination [Link]-[Link]

125
 Exemple : Connecter un sous-réseau privé à
l'internet à l'aide de NAT

126
on ferme toutes les portes
$iptables –F vider les chaines
$iptables –X suppimer les chaines

$iptables –P INPUT DROP

$iptables –P OUTPUT DROP
$iptables –P FORWARD DROP
plus rien ne passe !
$iptables –t nat –F vider les chaines
$iptables –t nat –X suppimer les chaines

$iptables -t nat -P PREROUTING ACCEPT

$iptables –t nat –P POSTROUTING ACCEPT
$iptables –t nat –P OUTPUT ACCEPT

À ce stade, rien ne passe.

rien ne passe…

ROUTAGE ROUTAGE
accept accept
PRE-ROUTAGE TRANSFERT POST-ROUTAGE
drop

PROCESSUS
accept
ENTREE SORTIE
drop drop
Il faut ouvrir quelques portes
$iptables –A INPUT –i lo –j ACCEPT
$iptables –A OUTPUT –o lo –j ACCEPT
idem avec eth
$iptables –A INPUT –i etho –j ACCEPT
$iptables –A OUTPUT –o etho –j ACCEPT
Le réseau local est toujours coupé du monde car la chaîne
FORWARD ne laisse rien passer.
rien ne passe…

ROUTAGE ROUTAGE
accept accept
PRE-ROUTAGE TRANSFERT POST-ROUTAGE
drop

PROCESSUS
accept (nat)
ENTREE SORTIE
lo, etho : accept drop drop lo, etho : accept
masquage
$iptables -t nat -A POSTROUTING
–s [Link]/24 –o ppp0 -j MASQUERADE

À ce stade, rien ne passe.

$iptables –A FORWARD –i etho –o ppp0

-m state –state NEW, ESTABLISHED, RELATED
–j ACCEPT
$iptables –A FORWARD –i ppp0 –o etho
-m state –state ESTABLISHED, RELATED
–j ACCEPT
transfert et masquarade
eth0 :: ppp0
masqué

eth0 :: ppp0
ROUTAGE ROUTAGE
autorisé
accept accept
PRE-ROUTAGE TRANSFERT POST-ROUTAGE
drop

PROCESSUS
accept
ENTREE SORTIE
l0, eth0 : accept drop drop l0, eth0: accept
nombreuses possibilités
Seuls les tranferts eth0::ppp0 sont autorisés… Un serveur de nom local ne
pourrait pas faire des requêtes vers l’extérieur (output drop).

$iptables –A OUTPUT –o ppp0 –p udp –sport 1024:

-d port 53 -m state –state ! INVALIDE
–j ACCEPT
$iptables –A INPUT –i ppp0 –o etho
-m state –state RELATED –j ACCEPT
 Exemple de routage

table de routage de
destination routeur

Jörg Liebeherr
 table de routage
destination masque passerelle interface

[Link] [Link] [Link] [Link]

[Link] [Link] [Link] [Link]

[Link] [Link] [Link] [Link]

[Link] [Link] [Link] [Link]

[Link] [Link] [Link] [Link]

[Link] [Link] [Link] [Link]

[Link] [Link] [Link] [Link]

Source : Jörg Liebeherr

 table de routage
destination masque passerelle interface

[Link] [Link] [Link] [Link] ok

[Link] [Link] [Link] [Link] ok/ko

[Link] [Link] [Link] [Link] ko

[Link] [Link] [Link] [Link] ko

[Link] [Link] [Link] [Link] ok

[Link] [Link] [Link] [Link] ko

[Link] [Link] [Link] [Link] ok

Source : Jörg Liebeherr

 [Link]
[Link] r
[Link]

zoe
mapix [Link]
dns [Link]
[Link]

routeur
# /etc/[Link] [Link] [Link]
nameserver [Link] [Link]
search [Link]

routeur
[Link]
Source : Jörg Liebeherr
 [Link]. 1H cname [Link]
[Link] A [Link]
[Link] A [Link]

[Link]
[Link] dns reply
arp who has
arp who
arp replyhas [Link]
dns query
[Link]
dns query [Link]
http query zoe
[Link] mapix [Link] [Link]
dns dns reply arp reply10.1.0.3
arp who has
[Link] dns query
gateway
[Link]
dns
routeur httpreply
query
[Link] [Link] [Link]
[Link]

arp reply

[Link] 10d ns [Link]

zoe 5h 194.124.2 routeur
[Link]

Source : Jörg Liebeherr