M Services Réseaux

Transcription

1 M Services Réseaux 3 - NAT/PAT : Traduction d adresses Cyril Pain-Barre Département Informatique, Aix version du 16/9/2016 Cyril Pain-Barre 3 - NAT/PAT 1 / 41

2 NAT (Network Address Translation) (RFC 2663 et 3022) Cyril Pain-Barre 3 - NAT/PAT 2 / 41

3 Saturation de l espace d adressage : cause L augmentation exponentielle du nombre d ordinateurs connectés à a rapidement saturé l espace d adressage IP Phénomène dû aussi bien aux entreprises qu aux particuliers Côté entreprises : hébergent souvent des serveurs devant être joints en permanence leurs stations de travail ont aussi souvent besoin d accéder à tout moment à des services externes Côté particuliers : nombreux à avoir choisi un abonnement ADSL ou câble payé au forfait et qui restent connectés en permanence (que l attribution d adresse soit fixe ou dynamique) le prix des ordinateurs est tel qu une famille possède souvent plusieurs ordinateurs accédant à du point de vue FAI, une famille a les mêmes besoins qu une petite entreprise Si le CIDR a permis de régler en partie le problème, l espace d adressage IPv4 demeure insuffisant! Cyril Pain-Barre 3 - NAT/PAT 3 / 41

4 Saturation de l espace d adressage : effets La pénurie d adresses IPv4 s est traduite par la situation suivante : Il n est plus possible d attribuer une adresse IPv4 distincte à chaque station connectée à. Note : une adresse IP officielle à portée globale (reconnue sur tout ) est dite publique. Dit autrement : Une organisation (entreprise/particulier) qui possède un certain nombre m de stations ayant besoin d un accès n obtient généralement qu un petit nombre n d adresses IP publiques où Mais : n est bien plus petit que m (et peut même valoir 1!) En attendant le déploiement d IPv6, la technique de traduction d adresse NAT et en particulier sa variante PAT a été développée pour permettre à ces m stations d avoir accès à. Cyril Pain-Barre 3 - NAT/PAT 4 / 41

5 Principe de la traduction d adresse Permettre à n adresses publiques d être partagées par un grand nombre m de stations (périphériques réseau). Pour cela : il faut placer une qui doit être le seul point de passage entre le Site NAT (réseau de l organisation) et le WAN () la est la seule qui possède et gère les n adresses publiques Site NAT WAN () n adresses publiques En schématisant, quand une station du Site NAT veut dialoguer avec l extérieur, elle passe par la qui utilisera (temporairement) l une des n adresses publiques Cyril Pain-Barre 3 - NAT/PAT 5 / 41

6 Quelques précisions une est un routeur avec les fonctionnalités NAT (la plupart des routeurs, et les *box des FAI) les stations du Site NAT n ont pas connaissance des adresses publiques de la et ne les utilisent pas mais ont des adresses privées qu il est très fortement conseillé de prendre dans les plages définies par la RFC 1918 : /8 soit adresses (de à ) /12 soit adresses (de à ) /16 soit adresses (de à ) Site NAT réseau privé /8 partie "invisible" pour n adresses publiques WAN () Pour, seule la existe (avec ses n adresses publiques), sans le Site NAT qui est invisible (adresses privées inconnues). Cyril Pain-Barre 3 - NAT/PAT 6 / 41

7 Précisions (suite) à l interieur du Site NAT, les stations communiquent entre elles en utilisant leurs adresses privées sans le NAT, un message envoyé à l extérieur ne pourrait avoir de réponse car les adresses privées ne sont pas routables dans le WAN la doit traduire (remplacer) dans un message vers l extérieur, l adresse privée par une adresse publique, et inversement pour la réponse (provenant de l extérieur) Sur un routeur CISCO, on définit les adresses publiques à utiliser pour la traduction (dynamique) dans un pool. Exemple : ip nat pool adrpub netmask définit un pool de 5 adresses publiques nommé adrpub Cyril Pain-Barre 3 - NAT/PAT 7 / 41

8 NAT non concerné par la discussion en interne La station A ( ) veut discuter avec la station B () : le dialogue étant interne, la n est pas concernée par ce trafic les datagrammes contiennent les adresses de A et de B A C IP réseau Sourceprivé IP /8 Dest (pool à ) B Cyril Pain-Barre 3 - NAT/PAT 8 / 41

9 NAT permet la discussion avec l extérieur A ( ) veut discuter avec la station externe C ( ) : 1 A envoie le datagramme qui parvient au routeur () 2 la remplace l adresse source (privée) par une adresse publique disponible ( ), enregistre une association ( , ) dans sa table de traductions, et transmet le datagramme vers C 3 C répond à l adresse source du datagramme ( ) 4 la NATBbox reçoit le datagramme, consulte sa table de traductions, trouve l association ( , ), remplace l adresse destination par et retransmet le datagramme à A A IP Source réseau privé /8 IP Dest B (pool à ) C Cyril Pain-Barre 3 - NAT/PAT 9 / 41

10 NAT permet la discussion avec l extérieur A ( ) veut discuter avec la station externe C ( ) : 1 A envoie le datagramme qui parvient au routeur () 2 la remplace l adresse source (privée) par une adresse publique disponible ( ), enregistre une association ( , ) dans sa table de traductions, et transmet le datagramme vers C 3 C répond à l adresse source du datagramme ( ) 4 la NATBbox reçoit le datagramme, consulte sa table de traductions, trouve l association ( , ), remplace l adresse destination par et retransmet le datagramme à A A réseau privé /8 B (pool à ) 2 IP Source IP Dest C Cyril Pain-Barre 3 - NAT/PAT 10 / 41

11 NAT permet la discussion avec l extérieur A ( ) veut discuter avec la station externe C ( ) : 1 A envoie le datagramme qui parvient au routeur () 2 la remplace l adresse source (privée) par une adresse publique disponible ( ), enregistre une association ( , ) dans sa table de traductions, et transmet le datagramme vers C 3 C répond à l adresse source du datagramme ( ) 4 la NATBbox reçoit le datagramme, consulte sa table de traductions, trouve l association ( , ), remplace l adresse destination par et retransmet le datagramme à A A IP Source IP Dest C réseau privé /8 B (pool à ) Cyril Pain-Barre 3 - NAT/PAT 11 / 41

12 NAT permet la discussion avec l extérieur A ( ) veut discuter avec la station externe C ( ) : 1 A envoie le datagramme qui parvient au routeur () 2 la remplace l adresse source (privée) par une adresse publique disponible ( ), enregistre une association ( , ) dans sa table de traductions, et transmet le datagramme vers C 3 C répond à l adresse source du datagramme ( ) 4 la NATBbox reçoit le datagramme, consulte sa table de traductions, trouve l association ( , ), remplace l adresse destination par et retransmet le datagramme à A A IP Source IP Dest C réseau privé /8 B (pool à ) Cyril Pain-Barre 3 - NAT/PAT 12 / 41

13 Terminologie du NAT Issue de CISCO, la terminologie fait la distinction entre : les adresses globales : adresses publiques routables (sur ) car elles ont une signification à portée globale les adresses locales : n ont un sens que localement, dans le Site NAT Le type d adresse que l on emploie est déterminé par la position (de l hôte ou du message) : à l intérieur (inside) du Site NAT, on emploie des adresses locales, librement à l extérieur (outside), on emploie des adresses globales adresses locales adresses globales Site NAT Intérieur (inside) Extérieur (outside) localement, les adresses des messages sont libres à l extérieur, les adresses doivent être publiques Cyril Pain-Barre 3 - NAT/PAT 13 / 41

14 Terminologie du NAT (2) Les messages passant la frontière inside/outside sont modifiés par la qui en traduit les adresses : pour les messages sortants (inside outside) : les adresses locales sont traduites en adresses globales pour les messages entrants (inside outside) : les adresses globales sont traduites en adresses locales adresses locales Site NAT traduction adresses globales adresses locales Intérieur (inside) traduction adresses globales Extérieur (outside) Cyril Pain-Barre 3 - NAT/PAT 14 / 41

15 Terminologie du NAT (3) On ajoute les qualificatifs d interne et d externe : les adresses internes (inside) sont maîtrisées par l administrateur du Site NAT et font référence à des hôtes du Site NAT les adresses externes (outside) font référence à des hôtes situés sur le WAN et qui possèdent (en principe) des adresses publiques On distingue donc en réalité les 4 types d adresses suivantes : adresses globales internes ou AGI (inside global address) : les adresses publiques de la adresses locales internes ou ALI (inside local address) : les adresses (en principe privées) des hôtes du Site NAT adresses globales externes ou AGE (outside global address) : les adresses publiques des hôtes du WAN adresses locales externes ou ALE (outside local address) : des adresses utilisées uniquement dans le Site NAT pour désigner autrement des hôtes du WAN... Cyril Pain-Barre 3 - NAT/PAT 15 / 41

16 Schéma général de la traduction NAT La traduit les adresses source (AS) et destination (AD) des messages qui franchissent la frontière inside/outside : message sortant AS : adresse locale interne AD : adresse locale externe Site NAT traduction AS : adresse globale interne AD : adresse globale externe AS : adresse locale externe AD : adresse locale interne Intérieur (inside) traduction message entrant AS : adresse globale externe AD : adresse globale interne Extérieur (outside) Dans le cadre du NAT, les AS et les AD sont des adresses IP. Dans sa variante PAT, il s agit d adresses d applications. Dans le cas normal (hors overlapping), les adresses externes ne sont pas traduites (adresse locale externe adresse globale externe). Cyril Pain-Barre 3 - NAT/PAT 16 / 41

17 Traductions inside et outside On peut indiquer à la les traductions à opérer traduction inside : traduire les adresses internes (inside) sortant AS : adresse locale interne AS : adresse globale interne Site NAT AD : adresse locale interne entrant AD : adresse globale interne Dans le cas normal (ex. *box des FAI), c est la seule nécessaire. traduction outside : traduire les adresses externes (outside) sortant AD : adresse locale externe AD : adresse globale externe Site NAT AS : adresse locale externe AS : adresse globale externe entrant Cette traduction n est utile qu en cas d overlapping ou les deux à la fois (réalisé en pratique pour traiter l overlapping) Cyril Pain-Barre 3 - NAT/PAT 17 / 41

18 Overlapping (chevauchement d adresses) Cas de l intersection non vide des AGE et des ALI. Par exemple, une entreprise a changé d adresse de réseau (ou de fournisseur) mais n a pas encore reconfiguré ses stations. En attendant de le faire, elle met en place du NAT avec le pool des nouvelles adresses, mais il faut traiter le fait que les ALI sont probablement et légitimement réutilisées par des stations externes. Autre exemple, une entreprise a eu la mauvaise idée de ne pas utiliser les adresses privées pour son site NAT. Les adresses qu elle a choisies pour ses ALI sont déjà utilisées dans le WAN (AGE). Sans traduction des adresses externes, il y aurait ambiguïté car une même adresse désignerait à la fois une station interne et une station externe. Cyril Pain-Barre 3 - NAT/PAT 18 / 41

19 Variantes du NAT Avec n adresses publiques, plusieurs variantes sont possibles/combinables : NAT statique : n stations choisies du Site NAT ont accès à l extérieur (traductions ALI AGI fixées par avance) NAT dynamique : m stations (voire toutes) du Site NAT sont autorisées à accéder à l extérieur. Les AGI leur sont associées dynamiquement et temporairement. PAT dynamique (le plus courant) : de très nombreuses stations peuvent partager une seule AGI (adresse publique) PAT statique : surtout utilisée pour permettre à des serveurs internes d être joints depuis l extérieur auxquelles ont peut ajouter le traitement de l overlapping. Cyril Pain-Barre 3 - NAT/PAT 19 / 41

20 La traduction statique (ou 1 pour 1) Associer de manière fixe et permanente une AGI à une ALI. Surtout utilisée si le Site NAT dispose m serveurs devant être accessibles depuis l extérieur : réserver m adresses parmi les n adresses publiques ces m adresses ne pourront plus servir à la traduction dynamique configurer la avec m traductions statiques de type : (adresse globale interne, adresse locale interne) Exemple (partiel) d activation sur un routeur CISCO : # ip nat inside source static associe statiquement l ALI et l AGI Cette association est permanente et apparaît dans la table des traductions : # show ip nat translations Pro Inside global Inside local Outside local Outside global Cyril Pain-Barre 3 - NAT/PAT 20 / 41

21 Traitement des messages pour la traduction statique Message sortant : adresse source traduite ALI AGI si l association statique (AGI, ALI) existe, sinon il est rejeté Exemples : où seule la traduction statique ( , ) existe AS AD réseau privé /8 AS AD table des traductions AGI ALI (statique) AS AD réseau privé / ERREUR table des traductions AGI ALI (statique) Cyril Pain-Barre 3 - NAT/PAT 21 / 41

22 Traitement des messages pour la traduction statique Message entrant : adresse destination traduite AGI ALI si l association statique (AGI, ALI) existe, sinon il est rejeté (cette AGI est gérée mais non associée par la ) AS AD réseau privé / AD AS table des traductions AGI ALI (statique) réseau privé / AS AD 2 table des traductions AGI ALI ERREUR 1 (statique) Cyril Pain-Barre 3 - NAT/PAT 22 / 41

23 La traduction dynamique NAT (ou m pour n) (m > n) Associer dynamiquement l une des n AGI à l une des m ALI autorisées lorsque nécessaire. Seules n stations auront un accès extérieur en même temps : configurer la pour autoriser les m hôtes à discuter avec l extérieur et définir le pool des n AGI qui seront utilisées lorsqu une station autorisée entame un dialogue avec l extérieur, lui associer temporairement une AGI disponible l association prend fin après un certain temps d inactivité l AGI est alors remise dans le pool d adresses disponibles Aucune association ne peut être créée par un message entrant. Mais tant que l association (AGI, ALI) n a pas expiré, l hôte est accessible aux stations externes par l AGI. Les traductions dynamiques apparaissent comme les traductions statiques dans la table des traductions mais leur durée de vie (TTL) est limitée. Cyril Pain-Barre 3 - NAT/PAT 23 / 41

24 NAT dynamique : exemples Message sortant : association créée ou réutilisée pour les ALI autorisées uniquement (ici, ) AS AD réseau privé /8 1 pool à AS autorisée AD table des traductions AGI ALI (statique) (dynamique) pool ERREUR à autorisée AS réseau privé 1 AD / table des traductions AGI ALI (statique) (dynamique) Cyril Pain-Barre 3 - NAT/PAT 24 / 41

25 NAT dynamique : exemples Message entrant : accepté et traduit uniquement si association existante pour l AGI AS AD réseau privé / AS AD table des traductions AGI ALI (statique) (dynamique) réseau privé / AS AD ERREUR table des traductions AGI ALI (statique) (dynamique) Cyril Pain-Barre 3 - NAT/PAT 25 / 41

26 NAPT (Network Address Port Translation) ou PAT (à nouveau RFC 2663 et 3022) Cyril Pain-Barre 3 - NAT/PAT 26 / 41

27 Caractéristiques du PAT Alors que NAT limite l accès simultané à l extérieur () à n stations si l on dispose de n AGI, le PAT permet cet accès à un grand nombre de stations (potentiellement plusieurs milliers) même si n est réduit à 1 Les *box des FAI utilisent le PAT pour permettre à plusieurs ordinateurs d un foyer (ou d une TPE) d accéder à, puisqu un foyer ne possède qu une seule adresse IP Le PAT est normalisé pour fonctionner avec des datagrammes IP contenant des messages ICMP, UDP ou TCP Pour d éventuels autres protocoles, des solutions peuvent être mises en place mais ce n est pas normalisé C est la variante la plus utilisée du NAT. Cyril Pain-Barre 3 - NAT/PAT 27 / 41

28 Fonctionnement du PAT Le PAT gère et traduit des adresses d application, là où le NAT crée et gère des associations (AGI, ALI) avec des adresses IP Rappel : les adresses d application sont des triplets (IP, Protocole, Port) La (PAT) associe une adresse d application globale à une application d un hôte interne qui entame un dialogue avec l extérieur Pour cela, comme les adresses IP, les ports sont aussi traduits. Une association a alors la forme : où (Protocole, ALI:PLI, AGI:PGI) Protocole : est UDP, TCP ou ICMP PLI (Port Local Interne) : est le port utilisé par l application locale PGI (Port Global Interne) : est le port associé pour l adresse globale de l application Tout le bénéfice du PAT réside dans la traduction des ports : pour un Protocole donné, en attribuant un PGI différent aux applications ayant besoin d un accès externe, une seule AGI suffit! Cyril Pain-Barre 3 - NAT/PAT 28 / 41

29 PAT : Exemple avec AGI unique La ne possède qu une seule AGI qu elle partage avec les hôtes du Site NAT : TCP (S) :15001 autorisée réseau privé (D) :22 (S) : / (D) :22 table des traductions Proto Inside global Inside local tcp :15001 :15001 TCP un client SSH de se connecte au serveur SSH externe Cyril Pain-Barre 3 - NAT/PAT 29 / 41

30 PAT : Exemple avec AGI unique La ne possède qu une seule AGI qu elle partage avec les hôtes du Site NAT : (S) :15002 (S) : autorisée (D) :25 réseau privé (D) : / table des traductions Proto Inside global Inside local tcp :15001 :15001 tcp : :15001 TCP TCP un client SMTP de se connecte au serveur SMTP externe Cyril Pain-Barre 3 - NAT/PAT 30 / 41

31 PAT : Exemple avec AGI unique La ne possède qu une seule AGI qu elle partage avec les hôtes du Site NAT : (S) :22 réseau privé (D) : /8 (D) : table des traductions Proto Inside global Inside local tcp :15001 :15001 tcp : :15001 TCP TCP (S) :22 le serveur SSH répond à la qui transmet au client de Cyril Pain-Barre 3 - NAT/PAT 31 / 41

32 PAT : Exemple avec AGI unique La ne possède qu une seule AGI qu elle partage avec les hôtes du Site NAT : (S) :25 (S) :25 (D) :15001 réseau privé (D) : / table des traductions Proto Inside global Inside local tcp :15001 :15001 tcp : :15001 TCP TCP le serveur SMTP répond à la qui transmet au client de Cyril Pain-Barre 3 - NAT/PAT 32 / 41

33 PAT : Filtrage des messages entrants Un message entrant ne peut créer d association dans la table des traductions : seul un message sortant peut le faire Un message entrant n est accepté et traduit que s il fait partie d un dialogue en cours Outre les associations en cours, les dialogues doivent être enregistrés et notamment les adresses des applications externes Quand un message entrant arrive, la vérifie que les adresses d application correspondent à celles d un dialogue existant Exemple : les adresses des applications externes des 2 connexions précédentes figurent en réalité dans la table des traductions. Les messages entrants qui n appartiennent pas à ces connexions sont rejetés réseau privé / TCP (S) :22 (D) :15001 ERREUR table des traductions Proto Inside global Inside local tcp :15001 :15001 tcp : :15001 Outside : :25 Cyril Pain-Barre 3 - NAT/PAT 33 / 41

34 Fonctionnement du PAT pour ICMP ICMP ne fournit pas de ports Les messages d erreur ICMP contiennent toutefois les en-têtes IP et TCP/UDP des datagrammes en cause et peuvent donc être traduits Les messages ICMP de demande (ECHO, Horodatage, etc.) contiennent un identificateur L identificateur est traduit comme s il s agissait d un port. Une traduction PAT pour un message ICMP (hors messages d erreur) envoyé vers l extérieur par une ALI aura donc la forme suivante : (ICMP, AGI:IGI, ALI:ILI) où ILI est l Identificateur Local Interne et IGI est l Identificateur Global Interne Ainsi la réponse, qui aura comme IP destination l AGI et comme identificateur IGI pourra être traduite et retransmise à l ALI correspondante Comme pour TCP et UDP, les adresses externes sont enregistrées, et les messages entrants ICMP étrangers à un dialogue en cours sont rejetés Cyril Pain-Barre 3 - NAT/PAT 34 / 41

35 PAT de messages ICMP sortants (hors erreurs) depuis : requête ping (ECHO REQUEST) d identificateur (ILI) 0 : ICMP réseau privé (S) : /8 (D) (S) :0 autorisée (D) ICMP table des traductions Proto Inside global Inside local Outside icmp :0 : :0 depuis : autre requête ping d identificateur 0 : ICMP (S) :0 (D) réseau privé / (S) :1 autorisée (D) ICMP table des traductions Proto Inside global Inside local Outside icmp :0 : :0 icmp : : :1 La a traduit l ILI (0) avec un IGI libre (1) Cyril Pain-Barre 3 - NAT/PAT 35 / 41

36 Schéma général de la traduction PAT Avec le PAT, on utilise aussi les PLE (Port Local Externe) et les PGE (Port Global Externe). On distingue les deux adresses suivantes pour une application externe pour un protocole donné (UDP, TCP, ICMP) : ALE:PLE : son adresse vue par un hôte du Site NAT AGE:PGE : son adresse dans le WAN () Pour des messages d un même protocole (UDP, TCP, ICMP), le schéma général de la traduction PAT est : Proto Proto (source) (dest.) (source) (dest.) ALI:PLI ALE:PLE Site NAT ALE:PLE ALI:PLI Intérieur (inside) message sortant message entrant Proto Proto (source) (dest.) (source) (dest.) AGI:PGI AGE:PGE AGE:PGE AGI:PGI Extérieur (outside) Sauf en cas d overlapping, les adresses externes ne sont pas traduites : ALE AGE et PLE PGE Cyril Pain-Barre 3 - NAT/PAT 36 / 41

37 Table de traductions complète La table des traductions contient en réalité toutes ces adresses Exemple : la table ci-dessous montre les traductions pour les deux connexions TCP des exemples précédents et les deux dialogues ICMP (ping) : # show ip nat translations Pro Inside global Inside local Outside local Outside global tcp :15001 : : :22 tcp : : : :25 icmp :0 : : :0 icmp : : : :1 Seules sont traduites les adresses internes (Inside global et Inside local) : les adresses externes (Outside local et Outside global) restent les mêmes. Ceci car la traduction demandée est inside (interne). Pour que les adresses externes soient traduites (cas d overlapping), il faut aussi opérer une traduction outside. Cyril Pain-Barre 3 - NAT/PAT 37 / 41

38 Gestion de la table des traductions/dialogues en cours Pour les variantes dynamiques du NAT et du PAT, la doit maintenir un état des dialogues (ou sessions) en cours : connexions TCP dialogues avec UDP dialogues avec ICMP (essentiellement ping) car les adresses globales internes temporairement allouées doivent être rendues à nouveau disponibles dès que possible : pour le NAT : l AGI associée à une ALI devra être à nouveau disponible lorsque les dialogues de l ALI avec l extérieur sont terminés pour le PAT : les couples AGI:PGI (de TCP et ceux d UDP) et AGI:IGI (ICMP) doivent être aussi restitués lorsque les applications ont terminé leur dialogue La doit détecter la fin des dialogues en cours, afin de pouvoir réallouer dès que possible les adresses globales internes. Cyril Pain-Barre 3 - NAT/PAT 38 / 41

39 Détection de la fin d un dialogue C est un problème difficile auquel il n y a pas de solution transparente Pour une connexion TCP : les deux côtés ont envoyé leur segment FIN un côté à envoyé un segment RST mais rien ne dit qu ils l ont reçu : la connexion est considérée comme close un certain temps (configurable) après l une de ces situations Pour un dialogue UDP ou ICMP : cela dépendant des (protocoles d ) applications le dialogue est considéré comme terminé si aucun datagramme le concernant n arrive à la pendant un certain temps (configurable) la peut disposer d un module reconnaissant les protocoles d application concernés et la fin de leurs dialogues Cyril Pain-Barre 3 - NAT/PAT 39 / 41

40 PAT statique et redirection de port (port forwarding) Comment un serveur du Site NAT peut-il être contacté depuis l extérieur? Rappel : le PAT (dynamique) filtre les messages entrants, et on ne peut contacter un serveur du Site NAT depuis l extérieur Une traduction PAT statique permet à l extérieur d initier un dialogue Exemple : la règle suivante sur la ajoute une entrée statique dans la table qui permet à l extérieur de se connecter au serveur SMTP de la station : # ip nat inside source static tcp # show ip nat translations Pro Inside global Inside local Outside local Outside global tcp : : Ainsi, les segments TCP destinés au port 25 de la seront redirigés (traduits) vers le serveur Certaines permettent de configurer des redirections de plages de port vers d autres plages, ainsi que les adresses externes autorisées Cyril Pain-Barre 3 - NAT/PAT 40 / 41

41 Effets de la traduction sur les autres protocoles La traduction opérée par le NAT/PAT doit être transparente, autant pour les ordinateurs que les protocoles de TCP/IP Or, la modification des adresses/ports source et destination n est pas anodine pour de nombreux protocoles comme IP, ICMP, TCP, UDP, FTP, et bien d autres : IP, TCP et UDP incluent les adresses IP dans le calcul de leur Checksum TCP et UDP y incluent aussi les ports et les données (voir FTP) Les messages d erreur d ICMP (types 3 à 5 et 11) contiennent une partie (au moins en-têtes IP et TCP/UDP) des datagrammes ayant provoqué l erreur FTP envoie, dans la commande PORT et en réponse de la commande PASV, une adresse d application à utiliser pour établir une connexion de données La doit en tenir compte et modifier tous les messages des protocoles qui utilisent les informations qu elle traduit! Cela implique parfois de constamment modifier les numéros de séquence et d acquittement d une connexion TCP... Cyril Pain-Barre 3 - NAT/PAT 41 / 41