Les routeurs, ou plus généralement les machines ayant un rôle dans un réseau peuvent être vues comme des nœuds d’interconnexion.
Les Firewall sont des équipements de routage qui ont une fonctionnalité supplémentaire pouvant autoriser ou non la retransmission des datagrammes. Le filtrage peut s’effectuer sur les champs des entêtes de paquets (IP, TCP, UDP, ...). Plus le filtrage a lieu dans des couches hautes de protocoles, plus il coûte cher en temps de traitement.
Dans le schéma précédent, on peut décider de faire remonter les trames dans un routeur jusqu’au niveau souhaité pour les examiner avant de les renvoyer sur l’interface de sortie (après avoir regardé la table de routage pour trouver le prochain saut).
En règle générale un filtre est utilisé en entrée d’un réseau pour limiter et contrôler le trafic entrant. Pour mettre en place un filtrage efficace il faut prendre soin de regarder et adapter les règles dans les deux sens de communication.
Les règles de filtrage sont en général construites pour ne rien laisser passer sauf les services dont on a besoin (la règle par défaut est donc de tout rejeter). Il faut faire attention à ne pas bloquer une machine complètement sous peine de ne plus pouvoir communiquer. Il faut pouvoir distinguer les réponses aux requêtes émises depuis l’intérieur d’un réseau des demandes de connexions initiées de l’extérieur.
Le filtrage de connexion TCP est possible si l’on autorise la lecture des bits de signalisation de TCP. Ansi, on peut filtrer un début de connexion pour l’interdire si la demande provient de l’extérieur d’un réseau et le laisser passer si l’émetteur est à l’intérieur. Cette mise en place nécessite une table dynamique dans la machine faisant office de filtre pour qu’elle puisse se rappeler qui a initié la connexion lors du passage d’un paquet. Pour les connexions TCP cette table recense les quadruplets TCP au fur et à mesure de l’établissement des connexions. Les entrées dans la table sont enlevées lors du passage d’un segment avec le bit FIN à 1.
Ce mécanisme est extensibles pour filtrer de façon sélective les connexions UDP, ICMP, ...
Bien que les machines effectuant de la translation d’adresse puissent être vues comme des routeurs (les datagrammes ne font que les traverser) les mécanismes de translation d’adresse doivent être différenciés du routage. En effet, la translation de paquets modifie les adresses sources et/ou destination ainsi que les ports des datagrammes, ce qui est interdit pour les routeurs.
On distinque deux types de translation :
Le SNAT est utilisé pour permettre à un réseau adressé dans une tranche d’adresse privée à sortir et à avoir des communications IP avec l’Internet. Dans la translation d’adresse source les champs d’adresse IP source et de port source pour les connexions UDP et TCP sont modifiés. De façon analogue au filtrage, la machine faisant le NAT doit conserver une table de correspondance pour faire l’operation inverse (modification de l’adresse et du port destination) lors du passage du paquet de réponse.
Le DNAT est utilisé pour permettre à une machine de l’Internet d’utiliser un service sur une machine étant dans une tranche d’adresse privée. On parle parfois de serveur virtuel dans le sens ou le client à l’impression de contacter un serveur avec une adresse publique alors que cette dernière n’est que l’adresse de la machine servant à relayer la requête. La translation de destination peut être utilisée pour des services de type équilibrage de charge sur plusieurs machines.
Les tunnels sont des mécanismes permettant de faire passer des paquets IP dans le champs de données d’autres paquets IP. Un tunnel permet de se servir d’IP comme support de niveau 2. En général cela est utilisé pour chiffrer les communications et assurer la confidentialité. En utilisant un tunnel IP une machine peut être raccordée à un réseau d’entreprise ou d’université en ayant une interface avec une adresse locale à l’entreprise (et donc les droits d’accès aux ressources) bien que physiquement connectée à un réseau internet publique avec une autre tranche d’adresses.
