3. Définir la topologie de votre réseau

Bien qu'il existe des arguments en faveur de différentes architectures, les exigences de bien des organisations peuvent être satisfaites en intégrant les postes de travail et les serveurs privés dans un réseau privé, et les machines publiques sur des adresses IP externes valides. Les machines possédant les adresses IP publiques seront appelées dans la suite de ce document « hôtes exposés ». Ceci conduit à la topologie suivante (exemple) :

+--------------+
|              |               +---------------+
| routeur du   |---------------| serveur FTP   |
| fournisseur  |        |      +---------------+
| d'accès      |        |
|              |        |
+--------------+        |      +----------------+
 |------| serveur WWW #1 |
 |      +----------------+
 |
 |      +----------------+
 |------| serveur WWW #2 |
 |      +----------------+
 |
 ~
 ~
 |
 |      +---------------+
 |------| passerelle    |
 | de réseau     |
 | privé         |
 +---------------+
 |
 |
 |
 |
 +------------+                   |      +------------------+
 | station #1 |-------------------|------| serveur privé #1 |
 +------------+                   |      +------------------+
 |
 .      -------------------|--------        .
 .                         |                .
 .      -------------------|--------        .
 |
 +------------+                   |      +------------------+
 | station #N |-------------------|------| serveur privé #N |
 +------------+                          +------------------+

Dans cet exemple, le routeur du FAI (fournisseur d'accès Internet -- provider--), le serveur FTP, les serveurs WWW et la machine désignée comme passerelle de réseau privé ont tous des adresses IP visibles depuis l'extérieur, alors que les stations et les serveurs privés ont des adresses IP réservées pour une utilisation privée. Voir la RFC1918 : http://www.ietf.org/rfc/rfc1918.txt ; http://abcdrfc.free.fr/rfc-vf/rfc1918.html en version française. Les adresses IP que vous choisissez pour votre réseau privé (tout ce qui est sous votre passerelle de réseau privé) doivent être uniques, mais pas seulement par rapport à l'ensemble des hôtes qui sont sous votre contrôle ; elles ne doivent pas non plus entrer en conflit avec des adresses attribuées dans les autres réseaux privés similaires, sur d'autres sites ou partenaires, avec lesquels vous pourriez vouloir un jour développer un réseau privé virtuel ; et ceci dans le but d'éviter déboires et reconfigurations lorsque les deux réseaux seront reliés de cette manière. Comme indiqué dans la RFC, vous pouvez opter pour un réseau de classe C entre les plages d'adresses 192.168.0.* et 192.168.255.*, un réseau de classe B compris entre les plages d'adresses 172.16.*.* et 172.31.*.*, ou bien, un réseau de classe A 10.*.*.*. Dans la suite de ce document, je supposerai que votre réseau privé (si vous avez choisi d'en créer un) est un réseau de classe C sur la plage 192.168.1.*, que l'interface extérieure de votre passerelle de réseau privé a l'adresse IP 10.1.1.9, une des adresses qui vous ont été allouées par le FAI (notez qu'il ne s'agit pas d'une adresse publique valide, je ne l'utilise que comme exemple). Je supposerai également qu'il y a une machine, betty.example.com à l'adresse 10.1.1.10, qui supporte simultanément le service FTP et le service www.

Faites le compte du nombre d'adresses IP externes dont vous avez besoin pour vos machines. Vous aurez besoin d'une adresse pour chacune des machines installées du coté externe de la passerelle de réseau privé, plus une pour la passerelle elle-même. Ce compte n'inclut pas toute IP qui pourrait être attribuée à d'autres routeurs, adresses de diffusion, etc. Vous devez demander à votre fournisseur d'accès un bloc d'adresses suffisamment grand pour mettre en place toutes vos machines. Par exemple, sur mon réseau professionnel, parmi les huit adresses IP allouées par le FAI, trois n'étaient pas utilisables par mes ordinateurs, laissant la place pour quatre machines à l'extérieur de la passerelle, plus la passerelle elle-même.

Cette topologie de réseau ne vaut pas pour tout le monde, mais elle constitue un point de départ raisonnable pour beaucoup de configurations qui n'ont pas de besoin particulier. Les avantages de cette configuration sont les suivants  :

• facilité de développement. Si vous souhaitez doubler le nombre de vos noeuds dans le réseau privé, vous n'avez pas besoin de faire appel à votre fournisseur pour obtenir une plage d'adresses supplémentaire ni reconfigurer l'ensemble des interfaces de vos machines.
• contrôle local du réseau. Ajouter une nouvelle station de travail sur votre réseau privé ne requiert aucune intervention de votre provider, contrairement à l'ajout d'hôtes exposés ; ceux-ci ont besoin d'être cartographiés (connus) dans les bases de données DNS (direct et inversé) s'ils veulent accomplir certaines tâches (ssh et ftpd risquent de se plaindre s'il ne peuvent faire du DNS direct ou du DNS inversé sur des connexions entrantes). Une requête DNS inversé se fait dans le but d'obtenir le nom d'hôte à partir de l'adresse IP.
• sécurité centralisée. La passerelle de réseau privé, en filtrant les paquets et notant les attaques, permet de mettre en vigueur les règles de sécurité sur l'ensemble du réseau privé plutôt que d'avoir à installer de telles mesures sur chacun des serveurs et stations du réseau privé. Ceci est applicable non seulement pour les paquets entrants mais aussi pour les paquets sortants de sorte qu'une station mal configurée ne peut pas, par erreur, diffuser au monde extérieur une information qui doit rester interne.
• déplacement facilité. Du fait que les adresses IP à l'intérieur du réseau privé sont les vôtres pour autant de temps que vous le souhaitez, vous pouvez transposer l'ensemble du réseau sur une nouvelle série d'adresses IP publiques sans avoir à effectuer une quelconque modification de la configuration du réseau privé. Bien sûr, les hôtes publics nécessitent quand même d'être reconfigurés.
• accès à Internet transparent. Les machines du réseau privé peuvent continuer à utiliser FTP, telnet, WWW, et autres services avec un minimum d'embarras moyennant un camouflage « Linux-Masquerading ». Les utilisateurs peuvent même n'avoir jamais conscience que leurs machines n'ont pas d'adresse IP visible depuis l'extérieur.

Les désavantages potentiels de ce type de configuration sont les suivants  :

• certains services ne seront pas disponibles directement sur les machines du réseau interne. La synchronisation NTP avec un hôte extérieur, quelques obscurs services dont les règles de masquage ne sont pas supportées dans le noyau, et l'authentification .shosts sur des hôtes externes sont tous difficiles voire impossibles, mais il existe quasiment toujours des procédures de contournement.
• coûts de matériel réseau plus élevé. La passerelle de réseau privé nécessite deux cartes réseau, et vous avez besoin d'au moins deux concentrateurs (hubs) ou commutateurs (switchs), l'un sur le réseau visible, l'autre sur le réseau privé.
• Les machines localisées à l'extérieur du réseau privé ne peuvent pas facilement se connecter sur les machines à l'intérieur du réseau privé. Elles doivent d'abord ouvrir une session sur la passerelle de réseau privé, puis se connecter au travers de celle-ci sur l'hôte interne. Il est possible de router des paquets de manière transparente à travers le pare-feu (firewall), mais ceci n'est pas recommandé pour des raisons de sécurité qui seront abordées plus tard.

Vous devriez tenir compte de tous ces points lors de l'élaboration de la topologie de votre réseau, et décider si un réseau entièrement visible est mieux adapté à votre cas. Dans la suite du document, je supposerai que vous avez configuré votre réseau comme montré ci-dessus. Si vous avez opté pour un réseau entièrement visible, certains détails différeront, et j'essayerai de signaler de telles différences.

Au cas où vous n'auriez pas besoin de serveur externe, le routeur fourni par le provider peut être directement connecté à l'interface externe de la passerelle de réseau privé, plutôt que par l'intermédiaire d'un hub.